Pek çok profesyonel, müşterileri ve iş arkadaşlarını yoklukları hakkında bilgilendirmek ve dışarıdayken iletişim bilgilerini sağlamak için ofis dışında otomatik yanıt e-posta mesajlarını kullanır. Yapılacak sorumlu şey gibi görünüyor, değil mi? Şart değil. Ofis dışında otomatik yanıtlar, büyük bir güvenlik riski oluşturabilir. Ofis dışında yanıtlar, siz uzaktayken size e-posta gönderen herkese sizinle ilgili büyük miktarda hassas veriyi potansiyel olarak açığa çıkarabilir.
Sık Karşılaşılan İşyeri Dışında Yanıt Örneği
1-7 Haziran haftasında Burlington, Vermont’taki XYZ konferansında ofis dışında olacağım. Bu süre zarfında faturayla ilgili konularda yardıma ihtiyacınız olursa, lütfen amirim Joe Somebody ile 555-1212 numaralı telefondan iletişime geçin. Yokluğumda bana ulaşmanız gerekirse 555-1011 numaralı cep telefonumdan bana ulaşabilirsiniz.
Bill Smith – Operasyon Başkan Yardımcısı – Widget CorpSmithb@widgetcorp.dom555-7252
Yukarıdaki mesaj bazılarına yardımcı olsa da, başkalarına potansiyel olarak hassas bilgilerden oluşan zenginliği açığa çıkarır. Bu bilgiler suçlular veya bilgisayar korsanları tarafından sosyal mühendislik saldırıları için kullanılabilir. Yukarıdaki örnek ofis dışında yanıtı, bir saldırgana şunları sağlar:
Mevcut Konum Bilgileri
Konumunuzu ortaya çıkarmak, saldırganların nerede olduğunuzu bilmelerine yardımcı olur. Vermont’ta olduğunuzu söylerseniz, Virginia’daki evinizde olmadığınızı bilirler. Bu seni soymak için harika bir zaman. Eğer orada olduğunu söylediysen XYZ konferans (Bill’in yaptığı gibi), o zaman sizi nerede arayacaklarını bilirler. Ayrıca ofisinizde olmadığınızı ve ofisinize girip şöyle bir şey söyleyerek konuşabileceklerini de biliyorlar:
“Bill, XYZ raporunu almamı söyledi. Masasında olduğunu söyledi. Ofisine gidip onu almamın bir sakıncası var mı?” Meşgul bir sekreter, eğer hikaye makul görünüyorsa, bir yabancının Bill’in ofisine girmesine izin verebilir.
İletişim bilgileri
Bill’in ifşa ettiği iletişim bilgileri, dolandırıcıların kimlik hırsızlığı için gerekli unsurları bir araya getirmesine yardımcı olabilir. Artık e-posta adresi, iş ve cep telefonu numaraları ve amirinin iletişim bilgileri de var. Birisi otomatik yanıtı açıkken Bill’e bir mesaj gönderdiğinde, e-posta sunucusu otomatik yanıtı onlara geri gönderir ve bu da Bill’in e-posta adresini geçerli bir çalışma adresi olarak onaylar. E-posta Spamcılar, spam’larının canlı bir hedefe ulaştığına dair onay almayı severler. Bill’in adresi büyük olasılıkla diğer spam listelerine onaylanmış bir isabet olarak eklenecektir.
İstihdam Yeri, İş Unvanı, Çalışma Hattı ve Komuta Zinciri
İmza bloğunuz genellikle iş unvanınızı, çalıştığınız şirketin adını (bu aynı zamanda ne tür bir iş yaptığınızı da gösterir), e-postanızı ve telefon ve faks numaralarınızı sağlar. “Ben yokken, lütfen amirim Joe Somebody ile iletişime geçin” ifadesini eklediyseniz, raporlama yapınızı ve komuta zincirinizi de açıkladınız. Sosyal mühendisler bu bilgileri kimliğe bürünme saldırı senaryoları için kullanabilir. Örneğin, patronunuz gibi davranarak şirketinizin İK departmanını arayabilir ve şöyle diyebilirler:
Bu Joe Somebody. Bill Smith seyahate çıktı ve onun Çalışan Kimliği ve Sosyal Güvenlik Numarasına ihtiyacım var, böylece şirket vergi formlarını düzeltebilirim.
Bazı ofis dışı ileti kurulumları, yanıtı yalnızca barındırma e-posta etki alanınızın üyelerine gidecek şekilde kısıtlamanıza olanak tanır, ancak çoğu kişinin istemcileri ve müşterileri barındırma etki alanının dışında olduğundan, bu özellik onlara yardımcı olmaz.
Daha Güvenli Bir Ofis Dışında Otomatik Yanıt Mesajı Oluşturun
Başka bir yerde olacağınızı söylemek yerine “müsait olmayacağınızı” söyleyin. Müsait değilsiniz, hala şehirde olduğunuz veya ofiste eğitim dersi aldığınız anlamına gelebilir. Kötü adamların gerçekte nerede olduğunuzu bilmelerini engellemeye yardımcı olur.
İletişim Bilgilerini Vermeyin
Telefon numaralarını veya e-postaları vermeyin. Onlara sizinle iletişim kurmaları gerektiğinde e-posta hesabınızı izleyeceğinizi söyleyin.
Kişisel Bilgilerden Kaçının ve İmza Bloğunuzu Kaldırın
Tamamen yabancıların ve muhtemelen dolandırıcıların ve spam göndericilerin otomatik yanıtınızı görebileceğini unutmayın. Bu imza bilgisini normalde yabancılara vermezseniz, otomatik cevabınıza eklemeyin.
