Általánosan bevett gyakorlat, hogy amikor szabadságra megyünk, „out of office auto reply”-t állítunk be, amely a vakáció időtartama alatt automatikus válaszüzenetet küld a beérkező levelekre. Ebben általában arról informáljuk a levélírót, hogy mikor térünk vissza az irodába, mikor tudunk foglalkozni az e-maillel, és kihez fordulhat sürgős esetben a távollétünkben.
Az ilyen automatikus üzenet célja a tájékoztatás és a hatékonyság növelése, ugyanakkor az így megosztott információkkal a kiberbűnözők előtt is kaput nyithatunk.
Forrás: www.hirado.hu
Mert ez rés lehet a védelmen
Az automatikus válaszüzenetből kiszűrt információk alapján ugyanis ki lehet csalni bizalmas adatokat a cégtől, illetve a munkavállalóitól. Ehhez a kiberbűnözőnek pusztán annyit kell tennie, hogy a cég egyik alkalmazottjának vagy beszállítójának adja ki magát, és megkeresi az auto reply-ban megadott kontakt személyt egy kitalált „vészhelyzettel”.
A segítségét kéri, hogy sürgősen küldjön át neki bizonyos adatokat, amelyekre egy határidős jelentéshez van szüksége, és ezt mindenképpen még azelőtt le kell adnia, hogy visszatér a vakációzó kolléga. A trükk sokszor beválik, ezt bizonyítja az is, hogy penetrációs teszteket végző szakemberek, köztük az egyik legismertebb etikus hacker, Kevin Mitnick is sikerrel alkalmazott már ilyen módszert.
A biztonsági szakemberek azt javasolják, hogy úgy állítsuk be az out of office üzeneteket, hogy azokat csak a házon belüli kollégák kapják meg, a külsős partnereket és ügyfeleket pedig külön, előzetesen tájékoztassuk a távollétünkről.
Egyes cégeknél az a bevett gyakorlat, hogy az érzékeny adatokkal dolgozó munkatársak címéről csak házon belül érkezik automatikus visszajelzés távollét esetén, és csak az egyéb részlegeken, elsősorban a sales és ügyfélkapcsolatokkal foglalkozó osztályokon dolgozó alkalmazottak fiókjainál állítanak be minden feladónak elküldendő, automatikus visszajelzést.
Közösségi (be)hálózás
Nem újdonság, hogy rengeteg információt osztunk meg magunkról a közösségi hálózatokon, akár egyszerűen csak azért, mert van rá rubrika az adatlapon. A munkahelyi szerepkörrel, titulussal, szaktudással és projekttel, valamint a cégtörténettel kapcsolatos információk általában publikusak az alapbeállítás szerint.
Noha ezek az adatok nem számítanak bizalmasnak a vállalat szempontjából nézve, a szélhámosok számára aranybánya lehet egy ilyen adatbázis. Ugyanúgy, mint az automatikus válaszüzenetben megosztott információk, ezek is felhasználhatók olyan social engineering (az emberi természetet kihasználó) támadásokhoz, amelyek során a támadók a célpont bizalmi körébe tartozó személynek adják ki magukat.
Sokat mondó, elejtett szavak
Egyre több vállalatnál alkalmaznak különféle előírásokat arra vonatkozóan is, hogy a munkavállalók milyen biztonsági információkat adhatnak ki a cégről. Erre minden ok megvan, hiszen előfordul, hogy túl sokat mutatunk a kamera előtt puszta véletlenségből, vagy egyszerűen figyelmetlenségből.
Akár mulattató példa is lehetne erre a francia TV5Monde televíziós csatorna esete, ahol egy riport során post-it cetlikre felírt hozzáférési adatok látszottak a háttérben a megszólaló mögött. (Az már a sors fintora, hogy a csatorna éppen arról készített összefoglalót, hogyan törték fel a rendszerüket az Iszlám Állam hackerei.)
