Отправляясь в отпуск или командировку, многие сотрудники настраивают автоматические ответы на входящие письма, чтобы клиенты и коллеги знали, к кому следует обращаться в их отсутствие. Обычно такое сообщение содержит информацию о сроках поездки, контактные данные заместителей, а иногда — сведения о текущих проектах.
Однако автоматические ответы могут стать источником рисков для бизнеса. Если сотрудник не ограничил круг получателей автоответа, робот отвечает всем, чьи письма попали в папку «Входящие». А это могут быть киберпреступники или спамеры, которым удалось обойти фильтры. При этом информации в автоответе может оказаться достаточно для организации целевой атаки.
Большие неприятности из-за одной строчки
В случае со спамерами такое письмо напрямую сообщает злоумышленникам, что адрес электронной почты действителен и принадлежит конкретному человеку — с именем, фамилией и должностью. Часто в подписи содержится еще и номер телефона.
Обычно спамеры рассылают письма по огромной базе данных, которая со временем устаревает и теряет актуальность, а потому используется все реже и реже. Однако поняв, что на другом конце линии есть реальный человек, преступники сразу же внесут его в список проверенных целей и станут писать значительно чаще. А может быть, и звонить. Но это меньшее из зол.
Гораздо хуже, если автоответ уйдет людям, приславшим фишинговое письмо. Получив информацию о замещающих сотрудниках, включая их имена, должности, график работы и даже телефоны, преступники могут организовать качественную целевую фишинговую атаку. И не стоит думать, что эта проблема актуальна только для крупных компаний: по сути злоумышленникам в руки попадают все необходимые данные для дальнейших упражнений в социальной инженерии. Почему бы не воспользоваться ей, если предварительного сбора информации не нужно?
Как могут действовать злоумышленники
Представьте, что менеджер Петр уехал в отпуск, оставив подробный автоответ. Например, такой: «Меня не будет в офисе до 27.03. По проекту ООО «Ромашка» работы курирует Татьяна (адрес, телефон). Редизайном приложения для ООО «Вий» занимается Арсений (адрес, телефон)».
В это время Арсению приходит письмо якобы от директора ООО «Вий». Ссылаясь на договоренности с Петром, он просит посмотреть новый эскиз пользовательского интерфейса приложения и спрашивает, удастся ли это реализовать? В такой ситуации Арсений, скорее всего, откроет приложенный к письму файл или перейдет по ссылке, тем самым подвергнув рабочий компьютер угрозе заражения.
Кроме того, преступники могут выведать конфиденциальную информацию прямо в переписке, ссылаясь на уехавшего в отпуск работника и историю сотрудничества. Чем больше они знают о компании, тем выше вероятность, что заместитель отправит им внутренние документы или иным образом выдаст коммерческую тайну.
Что с этим делать?
Чтобы почтовый автоответчик не стал источником проблем, необходимо продумать грамотную политику для сообщений об отсутствии.
- Определите, кому из сотрудников действительно необходим такой инструмент. Если работник ведет всего пару клиентов, то он может уведомить их об отъезде отдельным письмом или по телефону.
- Сотрудникам, все задачи которых можно передать одному заместителю, имеет смысл использовать переадресацию. Да, это не всегда удобно, но, с другой стороны, гарантирует, что важные письма не будут пропущены.
- Порекомендуйте работникам создать два варианта ответа — для внутренних и внешних адресов. В письмо для коллег можно добавить более подробные инструкции, при этом посторонние не узнают лишнего.
- Если сотрудник переписывается только с коллегами, то автоответ на внешние адреса вообще лучше отключить.
- В любом случае посоветуйте персоналу указывать в автоматических ответах только ту информацию, которая необходима для рабочего процесса. Не нужно приводить в письме названия конкретных линеек продуктов, имена заказчиков, сведения о том, куда уехал сотрудник, номера телефонов коллег и прочие избыточные детали.
- На почтовом сервере стоит использовать решение, автоматически выявляющее спам и попытки фишинга, а заодно и проверяющее вложения на предмет наличия в них вредоносного ПО.