07/03/2019

Automatyczna odpowiedź o nieobecności: jak nie ujawnić zbyt wiele

Biznes Korporacje MŚP

Przed udaniem się na wakacje czy w podróż firmową wielu pracowników ustawia automatyczną odpowiedź na przychodzące wiadomości e-mail, aby klienci i inni pracownicy wiedzieli, z kim kontaktować się w zastępstwie. Zwykle wiadomości takie zawierają przewidywany czas nieobecności, informacje kontaktowe do osoby zastępującej, a czasami nawet informacje o aktualnych projektach.

Automatyczne odpowiedzi mogą wydawać się nieszkodliwe, a jednak mogą stwarzać dla firmy zagrożenie. Jeśli pracownik nie uwzględni konkretnej listy odbiorców, automatyczna odpowiedź trafi do każdego, kto wyśle e-mail — na przykład do cyberprzestępcy lub spamera, któremu udało się ominąć filtry. Informacje zawarte w odpowiedzi mogą nawet ułatwiać przeprowadzenie ataków ukierunkowanych.

Jedna wiadomość, duży kłopot

W przypadku spamerów automatyczna odpowiedź informuje ich, że adres e-mail istnieje i należy do określonej osoby. Ujawnia jej imię i nazwisko, a także stanowisko. W stopce często można znaleźć również numer telefonu.

Spamerzy zwykle wysyłają wiadomości na adresy znajdujące się w ogromnej bazie danych, która z biegiem czasu staje się przestarzała i nie przynosi pożądanych efektów. Jednak gdy po drugiej stronie zostanie zidentyfikowana prawdziwa osoba, cyberprzestępcy oznaczają ją jako opłacalny cel i zaczynają pisać znacznie częściej. Ba, mogą nawet zacząć dzwonić. Jednak nie to jest najgorsze.

Jeśli autoodpowiedź jest wysłana w odpowiedzi na wiadomość phishingową, zawarte w niej informacje odnośnie zastępcy, w tym imię i nazwisko, zajmowane stanowisko, harmonogram pracy, a nawet numer telefonu, mogą zostać użyte do zorganizowania skutecznego phishingowego ataku ukierunkowanego. Problem ten nie dotyczy tylko dużych firm. W rzeczywistości automatyczna odpowiedź jest łatwa: dane te są skarbnicą dla inżynierii społecznej wszelkiej maści.

Co mogą zrobić cyberprzestępcy?

Wyobraź sobie, że Piotr wybiera się na wakacje i ustawia automatyczną odpowiedź zawierającą wiele informacji. Na przykład: „Do 27 marca będę przebywać poza biurem. W kwestiach dotyczących projektu XYZ, proszę kontaktować się z Agatą (adres e-mail, numer telefonu). Za zmianę wyglądu Medusy będzie w tym czasie odpowiadać Dariusz (adres e-mail, numer telefonu)”.

Załóżmy, że Dariusz otrzymuje wiadomość, która została teoretycznie wysłana od dyrektora firmy Medusa LLC. Nawiązując do wcześniejszych ustaleń z Piotrem, cyberprzestępca prosi Dariusza, aby obejrzał propozycję nowego interfejsu. W takiej sytuacji Dariusz prawdopodobnie otworzy załącznik lub kliknie łącze, narażając tym samym swój firmowy komputer na infekcję.

Co więcej, cyberprzestępcy mogą zdobyć poufne informacje z historii poczty e-mail, powołując się na nieobecnego pracownika i ich rzekomą wspólną pracę. Im więcej wiedzą o firmie, tym bardziej prawdopodobne jest, że pracownik zastępczy prześle wewnętrzną dokumentację lub ujawni jakąś tajemnicę.

Jak zapewnić sobie bezpieczeństwo

Aby nie narazić się na kłopoty wynikające z automatycznego odpowiadania, potrzebna jest rozsądna polityka informowania o swojej nieobecności.

  • Zdecyduj, którzy pracownicy naprawdę potrzebują tej funkcji. Jeśli pracownik opiekuje się zaledwie kilkoma klientami, może poinformować o swojej nieobecności poprzez wysłanie im jednego e-maila lub wykonanie telefonu.
  • W przypadku pracowników, których zadania przejmuje inna osoba, najlepiej jest skorzystać z opcji przekierowania. Oczywiście nie zawsze jest to wygodne rozwiązanie, jednak zapewnia ono, że istotne wiadomości nie umkną.
  • Niech pracownicy przygotują dwie opcje automatycznej odpowiedzi — jedną dla osób wewnątrz firmy, a jedną dla adresów zewnętrznych. Bardziej szczegółowe informacje można umieścić w wiadomości do współpracowników, a poza firmę powinno być wysyłane tylko to, co niezbędne.
  • Jeśli pracownik koresponduje tylko wewnątrz firmy, wyłącz opcję automatycznej odpowiedzi na pocztę zewnętrzną.
  • Poinstruuj pracowników, że automatyczna odpowiedź nie powinna zawierać zbędnych informacji. Imiona i nazwiska klientów, numery telefonów pracowników, informacje na temat tego, gdzie pracownicy spędzają wakacje i inne szczegóły są zbędne.
  • Na serwerze pocztowym zainstaluj rozwiązanie bezpieczeństwa, które automatycznie wykrywa wiadomości spamowe i phishingowe, a także skanuje załączniki w poszukiwaniu szkodliwych programów.