Csak óvatosan azokkal az automatikus üzenetekkel!
Nem is sejtjük milyen információkat adunk ki tudtunk nélkül
Gondoltuk volna, hogy még egy ‘out of office’ automatikus üzenet is veszélyes lehet? Kiberbűnözők egészen apró információmorzsákból is képesek muníciót kinyerni egy social engineering támadáshoz. A NetIQ szakértői három olyan területre hívják fel a figyelmet, ahol akaratlanul is árulkodó nyomokat hagyhatunk magunk után, kinyitva a kaput az adattolvajoknak.
Általánosan bevett gyakorlat, hogy amikor szabadságra megyünk, „out of office auto reply”-t állítunk be, amely a vakáció időtartama alatt automatikus válaszüzenetet küld a beérkező levelekre. Ebben általában arról informáljuk a levélírót, hogy mikor térünk vissza az irodába, mikor tudunk foglalkozni az e-maillel, és kihez fordulhat sürgős esetben a távollétünkben. Az ilyen automatikus üzenet célja a tájékoztatás és a hatékonyság növelése, ugyanakkor az így megosztott információkkal a kiberbűnözők előtt is kaput nyithatunk.
Az egyik legegyszerűbb trükk:
Az automatikus válaszüzenetből kiszűrt információk alapján ugyanis ki lehet csalni bizalmas adatokat a cégtől, illetve a munkavállalóitól. Ehhez a kiberbűnözőnek pusztán annyit kell tennie, hogy a cég egyik alkalmazottjának vagy beszállítójának adja ki magát, és megkeresi az auto reply-ban megadott kontakt személyt egy kitalált „vészhelyzettel”. A segítségét kéri, hogy sürgősen küldjön át neki bizonyos adatokat, amelyekre egy határidős jelentéshez van szüksége, és ezt a riportot mindenképpen még azelőtt le kell adnia, hogy visszatér a vakációzó kolléga.
A közösségi médiával is csak óvatosan:
Nem újdonság, hogy rengeteg információt osztunk meg magunkról a közösségi hálózatokon, akár egyszerűen csak azért, mert van rá rubrika az adatlapon. A munkahelyi szerepkörrel, titulussal, szaktudással és projekttel, valamint a cégtörténettel kapcsolatos információk általában publikusak az alapbeállítás szerint. Noha ezek az adatok nem számítanak bizalmasnak a vállalat szempontjából nézve, a szélhámosok számára aranybánya lehet egy ilyen adatbázis. Ugyanúgy, mint az automatikus válaszüzenetben megosztott információk, ezek is felhasználhatók olyan social engineering támadásokhoz, amelyek során a támadók a célpont bizalmi körébe tartozó személynek adják ki magukat.
Arra természetesen nincs mód, hogy minden információcsapot elzárjunk, hiszen akkor a számunkra fontos üzeneteket sem tudjuk eljuttatni a célcsoportunkhoz, ügyfeleinkhez és üzleti partnereinkhez. Ugyanakkor nagyobb biztonságban tudhatjuk az érzékeny adatokat, ha fejlett Identity Governance eszközzel és stratégiával felügyeljük, ki mihez férhet hozzá és mit oszthat meg.
