Viele Berufstätige verwenden automatische Abwesenheits-E-Mail-Nachrichten, um Kunden und Kollegen über ihre Abwesenheit zu informieren und Kontaktinformationen während ihrer Abwesenheit bereitzustellen.
Es scheint verantwortungsvoll zu sein, ist es aber nicht unbedingt. Automatische Abwesenheitsantworten können ein großes Sicherheitsrisiko darstellen. Abwesenheitsantworten können möglicherweise eine große Menge vertraulicher Daten über Sie an jeden weitergeben, der Ihnen während Ihrer Abwesenheit eine E-Mail sendet.
Beispiel einer üblichen Abwesenheitsnotiz
Ich werde in der Woche vom 1. bis 7. Juni bei der XYZ-Konferenz in Burlington, Vermont, nicht im Büro sein. Wenn Sie während dieser Zeit Hilfe bei rechnungsbezogenen Problemen benötigen, wenden Sie sich bitte unter 555-1212 an meinen Vorgesetzten, Joe Somebody. Wenn Sie mich während meiner Abwesenheit erreichen müssen, können Sie mich auf meinem Handy unter 555-1011 erreichen
Während die obige Nachricht für einige hilfreich sein kann, enthüllt sie für andere eine Fülle potenziell sensibler Informationen. Kriminelle oder Hacker können diese Daten für Social-Engineering-Angriffe verwenden.
Das obige Beispiel einer Abwesenheitsantwort bietet einem Angreifer:
Aktuelle Standortinformationen
Die Offenlegung Ihres Standorts hilft Angreifern zu wissen, wo Sie sich befinden. Wenn Sie sagen, Sie sind in Vermont, dann wissen sie, dass Sie nicht in Ihrem Haus in Virginia sind. Das wäre ein toller Zeitpunkt, um dich auszurauben. Wenn Sie sagten, Sie seien auf der XYZ-Konferenz (wie Bill), dann wissen sie, wo sie nach Ihnen suchen müssen. Sie wissen auch, dass Sie nicht in Ihrem Büro sind und dass sie sich vielleicht mit etwas wie: in Ihr Büro hineinsprechen können.
"Bill hat mir gesagt, ich soll den XYZ-Bericht abholen. Er sagte, er liegt auf seinem Schreibtisch. Stört es Sie, wenn ich in sein Büro komme und ihn hole?" Eine vielbeschäftigte Sekretärin könnte einfach einen Fremden in Bills Büro lassen, wenn die Geschichte plausibel erscheint.
Kontaktinformationen
Die von Bill preisgegebenen Kontaktinformationen können Betrügern dabei helfen, Elemente zusammenzusetzen, die für Identitätsdiebstahl benötigt werden. Sie haben jetzt auch seine E-Mail-Adresse, seine Arbeits- und Handynummer sowie die Kontaktdaten seines Vorgesetzten.
Wenn jemand Bill eine Nachricht sendet, während seine automatische Antwort aktiviert ist, sendet sein E-Mail-Server die automatische Antwort zurück, wodurch Bills E-Mail-Adresse als gültig bestätigt wird. E-Mail-Spammer lieben es, eine Bestätigung zu erh alten, dass ihr Spam ein aktives Ziel erreicht hat. Bills Adresse wird jetzt wahrscheinlich als bestätigter Treffer zu anderen Spam-Listen hinzugefügt.
Arbeitsort, Berufsbezeichnung, Arbeitsbereich und Befehlskette
Ihr Signaturblock enthält häufig Ihre Berufsbezeichnung, den Namen des Unternehmens, für das Sie arbeiten (was auch die Art Ihrer Arbeit verrät), Ihre E-Mail-Adresse sowie Ihre Telefon- und Faxnummer. Wenn Sie hinzugefügt haben: „Bitte kontaktieren Sie meinen Vorgesetzten, Joe Somebody, während ich nicht da bin“, dann haben Sie gerade auch Ihre Berichtsstruktur und Ihre Befehlskette offengelegt.
Social Engineers könnten diese Informationen für Identitätsangriffsszenarien verwenden. Sie könnten beispielsweise die Personalabteilung Ihres Unternehmens anrufen und sich als Ihr Chef ausgeben und sagen:
Das ist Joe Jemand. Bill Smith ist auf einer Reise und ich brauche seine Mitarbeiter-ID und seine Sozialversicherungsnummer, damit ich seine Firmensteuerformulare korrigieren kann.
Einige Einstellungen für Abwesenheitsnachrichten ermöglichen es Ihnen, die Antwort so einzuschränken, dass sie nur an Mitglieder Ihrer Host-E-Mail-Domain geht, aber die meisten Leute haben Clients und Kunden außerhalb der Host-Domain, also hat diese Funktion gewonnen nicht helfen.
Bottom Line
Anstatt zu sagen, dass Sie woanders sein werden, sagen Sie, dass Sie "nicht verfügbar" sein werden. Nicht verfügbar könnte bedeuten, dass Sie noch in der Stadt oder im Büro sind und an einem Schulungskurs teilnehmen. Es hilft, die bösen Jungs davon abzuh alten, zu wissen, wo Sie wirklich sind.
Keine Kontaktdaten angeben
Geben Sie keine Telefonnummern oder E-Mail-Adressen heraus. Sagen Sie ihnen, dass Sie Ihr E-Mail-Konto überwachen werden, falls sie Sie kontaktieren müssen.
Vermeiden Sie persönliche Informationen und entfernen Sie Ihre Signatursperre
Denken Sie daran, dass völlig Fremde und möglicherweise Betrüger und Spammer Ihre automatische Antwort sehen können. Wenn Sie diese Signaturinformationen normalerweise nicht an Fremde weitergeben würden, geben Sie sie nicht in Ihre automatische Antwort ein.
