De nombreux professionnels utilisent les e-mails de réponse automatique en cas d'absence du bureau pour informer leurs clients et collègues de leur absence et fournir leurs coordonnées pendant leur absence.
Cela semble être la chose responsable à faire, mais ce n'est pas nécessairement le cas. Les réponses automatiques d'absence du bureau peuvent constituer un risque majeur pour la sécurité. Les réponses d'absence du bureau peuvent potentiellement révéler une énorme quantité de données sensibles vous concernant à toute personne qui vous envoie un e-mail pendant votre absence.
Exemple de réponse courante d'absence du bureau
Je serai absent du bureau à la conférence XYZ à Burlington, Vermont, pendant la semaine du 1er au 7 juin. Si vous avez besoin d'aide pour des problèmes liés aux factures pendant cette période, veuillez contacter mon superviseur, Joe Somebody au 555-1212. Si vous avez besoin de me joindre pendant mon absence, vous pouvez me joindre sur mon cellulaire au 555-1011.
Bien que le message ci-dessus puisse être utile pour certains, il révèle une mine d'informations potentiellement sensibles pour d'autres. Les criminels ou les pirates peuvent utiliser ces données pour des attaques d'ingénierie sociale.
L'exemple de réponse d'absence du bureau ci-dessus fournit à un attaquant:
Informations sur la position actuelle
Révéler votre emplacement aide les attaquants à savoir où vous êtes. Si vous dites que vous êtes dans le Vermont, alors ils savent que vous n'êtes pas chez vous en Virginie. Ce serait le moment idéal pour vous voler. Si vous avez dit que vous étiez à la conférence XYZ (comme Bill l'a fait), alors ils savent où vous chercher. Ils savent également que vous n'êtes pas dans votre bureau et qu'ils pourraient peut-être parler pour entrer dans votre bureau en disant quelque chose comme:
"Bill m'a dit de prendre le rapport XYZ. Il a dit qu'il était sur son bureau. Ça te dérange si je viens dans son bureau et que je le prends ?" Une secrétaire occupée pourrait laisser entrer un étranger dans le bureau de Bill si l'histoire semble plausible.
Coordonnées
Les coordonnées que Bill a révélées peuvent aider les escrocs à reconstituer les éléments nécessaires à l'usurpation d'identité. Ils ont maintenant son adresse e-mail, ses numéros de travail et de portable, ainsi que les coordonnées de son superviseur.
Lorsque quelqu'un envoie un message à Bill alors que sa réponse automatique est activée, son serveur de messagerie lui renverra la réponse automatique, ce qui confirme que l'adresse e-mail de Bill est valide. Les spammeurs adorent obtenir la confirmation que leur spam a atteint une cible réelle. L'adresse de Bill sera probablement ajoutée à d'autres listes de spam en tant que réponse confirmée.
Lieu de travail, titre du poste, ligne de travail et chaîne de commandement
Votre bloc de signature fournit souvent votre intitulé de poste, le nom de l'entreprise pour laquelle vous travaillez (qui révèle également le type de travail que vous faites), votre adresse e-mail et vos numéros de téléphone et de fax. Si vous avez ajouté "pendant mon absence, veuillez contacter mon superviseur, Joe Somebody", alors vous venez de révéler votre structure hiérarchique et votre chaîne de commandement également.
Les ingénieurs sociaux pourraient utiliser ces informations pour des scénarios d'attaque par usurpation d'identité. Par exemple, ils pourraient appeler le service des ressources humaines de votre entreprise en se faisant passer pour votre patron et dire:
C'est Joe Quelqu'un. Bill Smith est en voyage et j'ai besoin de son identifiant d'employé et de son numéro de sécurité sociale pour que je puisse corriger ses formulaires fiscaux.
Certaines configurations de message d'absence du bureau vous permettent de restreindre la réponse afin qu'elle ne soit transmise qu'aux membres de votre domaine de messagerie hôte, mais la plupart des gens ont des clients et des clients en dehors du domaine d'hébergement, donc cette fonctionnalité a gagné ne les aide pas.
Bottom Line
Au lieu de dire que vous serez ailleurs, dites que vous serez "indisponible". Indisponible peut signifier que vous êtes toujours en ville ou au bureau pour suivre un cours de formation. Cela aide à empêcher les méchants de savoir où vous êtes vraiment.
Ne pas fournir d'informations de contact
Ne donnez pas de numéros de téléphone ou d'adresses e-mail. Dites-leur que vous surveillerez votre compte de messagerie s'ils ont besoin de vous contacter.
Évitez les informations personnelles et supprimez votre bloc de signature
N'oubliez pas que de parfaits inconnus et peut-être des escrocs et des spammeurs peuvent voir votre réponse automatique. Si vous ne donneriez normalement pas cette information de signature à des inconnus, ne la mettez pas dans votre réponse automatique.
