Szerinted veszélyesek az automatikus távollét, más néven out of office üzenetek? Az automatikus távollét (out of office) üzeneteket szinte minden cég használja, ami jó. A probléma az, hogy az alkalmazottak nincsenek oktatva a helyes használatáról, amivel veszélybe sodorják a céget.

Magánszemélyek esetében nem jellemző, de cégek esetében általánosan bevett szokás, hogy ha egy kolléga szabadságra megy vagy nem tartózkodik az irodában (e-mail közelben), akkor egy automatikus választ állít be. Az out of office (OOO) üzenetek célja az ügyfeleink tájékoztatása a távollétünkről, ezáltal a hatékonyság növelése, hogy az értékes ügyfél ne maradjon hetekre információ nélkül.

Az automatikus távollét e-mailben az alábbi adatok szinte biztosan fel vannak tüntetve:

• távollét vége
• a helyettesítő személy(ek) neve, e-mail címe és/vagy telefonszáma(i)
• aláírás amiben benne vannak a cég és a személy pontos elérhetőségei
  • beosztás
  • e-mail cím
  • vezetékes és mobil telefonszám
  • weboldal címe
  • sokszor még az is kideríthető belőle, hogy milyen más nyelveket használnak a cégnél

Ezek mindenegyike személyes információ vagy olyan adat ami a cég tulajdonát képezi, tehát potenciális információforrás az adathalászok számára.

Miért is veszélyes az automatikus válaszok meggondolatlan használata?

Példákon keresztül egyszerűbb megérteni a miértet.

Az automatikus válaszüzenetekből kinyert információk alapján adatokat lehet kicsalni a vállalat dolgozóiból. A támadó az úgynevezett social engineering technológiát felhasználva a vállalat dologzójának, beszállítójának vagy vevőjének adja ki magát és megkeresi az OOO üzentben található személyt egy kitalált vészhelyzettel kapcsolatban. Ennek keretében felkéri, hogy sürgősen szüksége lenne bizonyos riportokra vagy adatokra egy határidős munka leadásához és nincs idő megvárni a távol lévő kollégát.

A hackerek próbálkozással generált e-mail címekre küldenek e-maileket. A többségére semmi válasz nem érkezik, de amikor visszakapnak egy OOO üzenetet, akkor máris legalább két darab, valós e-mail cím birtokába jutottak. Ebből pontosan meg tudják állapítani a vállalatnál használt e-mailek formátumát, az aláírás formáját, a céges adatokat és legtöbbször a céges arculatot is. Ezek alapján már össze tudnak állítani egy csaló e-mailt aminek a formátuma hajszál pontosan úgy néz ki, mint amit a vállalatnál használnak. Sőt a benne lévő adatok is valódinak tűnnek. Ezt a csaló e-mail a vállalat honlapján megtekinthető beszállítóknak és vevőkenk továbbküldik. Ha például a vállalatnak van online partneri portálja, akkor megkérhetik a csapdába csalt partnereket, hogy változtassák meg a jelszavukat. Természetesen mindezt egy hamis portálon keresztül ami pontosan úgy néz ki mint a vállalat portálja.

Ez csak két példa a sok közül amivel kompromittálni lehet egy vállalatot kizárólag azon információk alapján ami az automatikus válaszüzenetekből kinyerhető.

Mit tehetünk, hogy megelőzzük az adathalászatot?

• Az első és legfontosabb, hogy oktassuk és teszteljük a kollégákat!
  • Tartsunk adatbiztonsági oktatásokat (security awerness training).
  • Tartsunk biztonsági teszteket (penetration test).
• Az OOO üzeneteket csak a cégen belülről érkező e-mailre állítsuk be.
  • Cégen kívüli partnereket még a távozás előtt célzottan tájékoztassuk a távollétről.
• Az értékesítő vagy ügyfélszolgálati osztályokon ne engedjük az OOO használatát, helyette egy megbízható kollégának (szűrve) iránytsuk át a bejövő e-maileket.

Van még valami amivel védhetjük a céget?

Általánosan alkalmazott, hogy az emberek mindenféle információt megosztanak a közösségi hálózatokon magukról. Többek között a munkahelyüket, beosztásukat, projektejiket. Ezek az információk alapértelmezetten publikusak, ami egy jó kiinduló alap a hackerek számára a fenti két példában szereplő támadáshoz.

Nagyobb vállalatoknál érdemes úgynevezett social media csoportot üzemeltetni akiknek a feladatuk, hogy az interneten felkutassák azokat az információkat amivel támadhatóvá válik a vállalat. Ezeket a csoportokat érdemes bevonni a kapcsolódó biztonsági szabályzatok megírásába és a felhasználók oktatásába.

Egyre fontosabb a dolgozók biztonsági oktatása, hogy elkerülhető legyen a szándékos vagy véletlen adatszivárgás. Egy jó példa erre a TV5Monde esete 2015-ből. A csatorna egy kollégájával készítettek interjút aki arról beszélt, hogy mennyire tartanak a kibertámadásoktól. A háttérben több lap volt kifüggesztve amire többek között Twitter, Instagram és más felhasználónevek és jelszavak voltak kinyomtatva.

A cégeknek fel kell mérniük az adataik fontosságát és meg kell védeniük azokat.

A megelőzésnek minden esetben sokkal kisebb a költsége.