啊,無害的外出通知訊息。在企業界,誰沒有偶爾使用過它呢?
當然,微軟 Outlook 和類似 電子郵件軟體中內建的外出功能非常適合讓同事、客戶、供應商,甚至是朋友和熟人知道你正躺在夏威夷的海灘上,喝著一兩杯邁泰酒,並且你無法回覆。
由於你在度假或因其他原因外出時無法或不想回復,你會提供一種在緊急情況下聯絡你的方式。
支援科學新聞
如果你喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道: 訂閱。透過購買訂閱,你正在幫助確保未來關於塑造當今世界的發現和想法的有影響力的故事。
你還會包括你的老闆或同事的姓名和聯絡資訊。你可能還會告訴人們你將離開多久以及何時返回辦公室。
沒什麼大不了的,對吧?
錯了。根據安全專家的說法,你永遠不知道誰會看到這些資訊。
洩露過多
趨勢科技研究員羅蘭·德拉帕茲去年秋天在一篇部落格文章中表示:“如今,在許多企業中,防範資料洩露和有針對性的攻擊是 IT 管理員最關心的問題之一。”
德拉帕茲指出:“管理員防範的事情之一是對可能成為有針對性攻擊受害者的任何潛在高價值人員進行偵察和定位。然而,一個不太明顯的資訊洩露來源是不起眼的外出通知。”
關於網站的 About.com 的網路安全指南安全專家安迪·奧唐納在外出回覆中看到了許多“瘋狂的事情”。
奧唐納說:“人們在其中放入並洩露的關於他們自己的資訊令人驚訝。我的經驗法則是,‘如果你不會告訴滿屋子的陌生人這些資訊,那麼你不應該把它放在你的外出回覆中。’”
“人們放入其中的一件事情是他們的指揮鏈——他們的主管是誰。”
奧唐納說,這種資訊可能對對公司進行社會工程攻擊的人非常有用。
奧唐納說:“他們可以[利用這些資訊]並聯系該公司的一個部門,聲稱是該人的主管,如果人們沒有機警地思考,他們可能會獲得該人的社會安全號碼。”
請搶劫我
奧唐納補充道:“那裡有很多洩露資訊。如果有人要去旅行,你顯然知道他們不會在家裡。”
許多竊賊正在 Facebook 上搜尋此類資訊,但將其留在外出回覆中只是讓他們更容易得手,他說。
奧唐納說:“很多時候,人們會確切地告訴你他們要去哪裡——例如,如果是一個會議——這可能很危險。”
“如果有人想在該會議上追蹤你,他們會確切地知道你將在哪裡,你的名字是什麼,你的手機號碼——只是很多不需要公開且可能傳送給任何人的資訊。”
問題之一是公司並沒有真正意識到外出回覆的安全風險。
奧唐納說:“我有一個傳送給 About.com 訂閱者的時事通訊,當我的時事通訊傳送出去時,它會提示許多人進行外出回覆。人們在其中放入瞭如此多的資訊,包括他們所有的聯絡資訊,他們的主管的名字是什麼,聯絡誰進行發票或諸如此類的事情。”
“當他們不知道誰會收到這些資訊時,他們會在這些回覆中放入他們的很多業務。它可能是網際網路上的一個完全陌生的人,或者是一個垃圾郵件傳送者或一個詐騙者。任何人都可以給你傳送電子郵件,並且該自動回覆將執行其工作並向他們傳送回覆。”
如何控制
奧唐納為使用者和 IT 管理員提供了一些建立更安全的外出通知訊息的技巧
— 設定你的郵件客戶端,以便向組織外部的人傳送與公司內部的人不同的外出通知。
— 制定行為規則的安全策略。簽訂使用者協議,以便使用者瞭解公司在資訊安全和保護資訊方面的政策。
奧唐納說:“公司應在此政策檔案中包括在外出通知中可以披露的資訊。例如,‘你不會在外出回覆中列出你的指揮鏈。’”
— 不要洩露過多資訊。要有意含糊不清。如果你必須留下自動回覆,不要說你會在夏威夷;說你將無法聯絡。與其給陌生人你的手機或家庭電話號碼,不如告訴他們你將檢視你的電子郵件。
— 將所有個人資訊從你的簽名塊中刪除。
奧唐納說:“如果你不會把這些資訊告訴完全陌生的人,就不要把它包括在你的外出通知中。”
版權所有 2013 科技新聞日報,TechMediaNetwork 公司。保留所有權利。本材料不得釋出、廣播、改寫或再分發。