Komoly veszélyeket rejthet az automatikus válaszüzenet

konnektor hacker magyarósi csaba
Vágólapra másolva!
Gondolta volna, hogy még egy out of office automatikus üzenet is veszélyes lehet? Kiberbűnözők egészen apró információmorzsákból is képesek muníciót kinyerni egy social engineering támadáshoz.
Vágólapra másolva!

Általánosan bevett gyakorlat, hogy amikor szabadságra megyünk, „out of office auto reply"-t állítunk be, amely a vakáció időtartama alatt automatikus válaszüzenetet küld a beérkező levelekre. Ebben általában arról informáljuk a levélírót, hogy mikor térünk vissza az irodába, mikor tudunk foglalkozni az e-maillel, és kihez fordulhat sürgős esetben a távollétünkben. Az ilyen automatikus üzenet célja a tájékoztatás és a hatékonyság növelése, ugyanakkor

az így megosztott információkkal a kiberbűnözők előtt is kaput nyithatunk.

Az információmorzsa is veszélyes lehet

Az automatikus válaszüzenetből kiszűrt információk alapján ugyanis ki lehet csalni bizalmas adatokat a cégtől, illetve a munkavállalóitól.

Ehhez a kiberbűnözőnek pusztán annyit kell tennie, hogy a cég egyik alkalmazottjának vagy beszállítójának adja ki magát, és megkeresi az auto reply-ban megadott kontakt személyt egy kitalált „vészhelyzettel".

Nem is gondolnánk, milyen fontos információ az, hogy mikor nem vagyunk a gépünk közelében. Forrás: Origo

A segítségét kéri, hogy sürgősen küldjön át neki bizonyos adatokat, amelyekre egy határidős jelentéshez van szüksége, és ezt a riportot mindenképpen még azelőtt le kell adnia, hogy visszatér a vakációzó kolléga. A trükk sokszor beválik, ezt bizonyítja az is, hogy penetrációs teszteket végző szakemberek, köztük az egyik legismertebb etikus hacker, Kevin Mitnick is sikerrel alkalmazott már ilyen módszert.

A biztonsági szakemberek azt javasolják, hogy úgy állítsuk be az out of office üzeneteket, hogy azokat csak a házon belüli kollégák kapják meg, a külsős partnereket és ügyfeleket pedig külön, előzetesen tájékoztassuk a távollétünkről.

Egyes cégeknél az a bevett gyakorlat, hogy az érzékeny adatokkal dolgozó munkatársak címéről csak házon belül érkezik automatikus visszajelzés távollét esetén, és csak az egyéb részlegeken, elsősorban a sales és ügyfélkapcsolatokkal foglalkozó osztályokon dolgozó alkalmazottak fiókjainál állítanak be minden feladónak elküldendő, automatikus visszajelzést.

Közösségi (be)hálózás

Nem újdonság, hogy rengeteg információt osztunk meg magunkról a közösségi hálózatokon, akár egyszerűen csak azért, mert van rá rubrika az adatlapon. A munkahelyi szerepkörrel, titulussal, szaktudással és projekttel, valamint a cégtörténettel kapcsolatos információk általában publikusak az alapbeállítás szerint. Noha ezek az adatok nem számítanak bizalmasnak a vállalat szempontjából nézve, a szélhámosok számára aranybánya lehet egy ilyen adatbázis. Ugyanúgy, mint az automatikus válaszüzenetben megosztott információk, ezek is felhasználhatók olyan social engineering támadásokhoz, amelyek során a támadók a célpont bizalmi körébe tartozó személynek adják ki magukat.

A közösségi oldalakon is nagyon vigyázzunk, kivel, mit osztunk meg! Forrás: NurPhoto/Jaap Arriens/NurPhoto/Jaap Arriens

A NetIQ szakértői szerint érdemes ilyen szempontból is átgondolni a biztonsági beállításokat. Nagyobb szervezeteknél social media csapatokat és szakembereket alkalmaznak, akiket érdemes bevonni a kapcsolódó biztonsági szabályzatok kialakításába is, illetve az alkalmazottak oktatásába, amikor a kockázatokra hívjuk fel a figyelmet.

Sokat mondó, elejtett szavak

Egyre több vállalatnál alkalmaznak különféle előírásokat arra vonatkozóan is, hogy a munkavállalók milyen biztonsági információkat adhatnak ki a cégről. Erre minden ok megvan, hiszen előfordul, hogy túl sokat mutatunk a kamera előtt puszta véletlenségből, vagy egyszerűen emberi természetünkből adódóan.

Jó példa erre a francia TV5Monde televíziós csatorna esete, ahol

egy riport során post-it cetlikre felírt hozzáférési adatok látszottak a háttérben a megszólaló mögött.

(A sors fintora, hogy a csatorna éppen arról készített összefoglalót, hogyan törték fel a rendszerüket az Iszlám Állam hackerei.) Ez természetesen kirívó eset, de arra mindenképpen rámutat, hogy célszerű biztonsági előírásokkal szabályozni, milyen információkat adhatnak ki az alkalmazottak, amikor a biztonsági előírásokról beszélnek a sajtónak vagy éppen az üzleti partnereknek.

Arra természetesen nincs mód, hogy minden információcsapot elzárjunk, hiszen akkor a számunkra fontos üzeneteket sem tudjuk eljuttatni a célcsoportunkhoz, ügyfeleinkhez és üzleti partnereinkhez. Ugyanakkor nagyobb biztonságban tudhatjuk az érzékeny adatokat, ha fejlett Identity Governance eszközzel és stratégiával felügyeljük, ki mihez férhet hozzá és mit oszthat meg.

Ha szeretne még több érdekes techhírt olvasni, akkor kövesse az Origo Techbázis Facebook-oldalát, kattintson ide!