Muitos profissionais usam mensagens de e-mail de resposta automática fora do escritório para informar clientes e colegas de trabalho sobre sua ausência e fornecer informações de contato enquanto estão ausentes.
Parece ser a coisa responsável a se fazer, mas não é, necessariamente. Respostas automáticas fora do escritório podem ser um grande risco de segurança. As respostas de ausência temporária podem revelar uma enorme quantidade de dados confidenciais sobre você para qualquer pessoa que enviar um e-mail enquanto você estiver ausente.
Exemplo de uma resposta comum de ausência temporária
Estarei fora do escritório na conferência XYZ em Burlington, Vermont, durante a semana de 1 a 7 de junho. Se você precisar de ajuda com problemas relacionados a faturas durante esse período, entre em contato com meu supervisor, Joe Somebody, pelo telefone 555-1212. Se você precisar entrar em contato comigo durante a minha ausência, pode entrar em contato comigo no meu celular em 555-1011.
Bill Smith - VP of Operations - Widget [email protected]
Embora a mensagem acima possa ser útil para alguns, ela revela uma riqueza de informações potencialmente confidenciais para outros. Criminosos ou hackers podem usar esses dados para ataques de engenharia social.
O exemplo de resposta de ausência temporária acima fornece a um invasor:
Informações da localização atual
Revelar sua localização ajuda os invasores a saber onde você está. Se você diz que está em Vermont, eles sabem que você não está em sua casa na Virgínia. Este seria um ótimo momento para roubá-lo. Se você disse que estava na conferência XYZ (como Bill fez), então eles sabem onde procurar por você. Eles também sabem que você não está em seu escritório e que eles podem entrar em seu escritório dizendo algo como:
"Bill me disse para pegar o relatório XYZ. Ele disse que estava em sua mesa. Você se importa se eu entrar em seu escritório e pegá-lo?" Uma secretária ocupada pode deixar um estranho entrar no escritório de Bill se a história parecer plausível.
Informações de contato
As informações de contato que Bill revelou podem ajudar os golpistas a reunir os elementos necessários para o roubo de identidade. Eles agora têm seu endereço de e-mail, seus números de trabalho e de celular, e também as informações de contato de seu supervisor.
Quando alguém envia uma mensagem para Bill enquanto sua resposta automática está ativada, seu servidor de e-mail enviará a resposta automática de volta para eles, o que confirma o endereço de e-mail de Bill como válido. Os spammers de e-mail adoram receber a confirmação de que seu spam atingiu um alvo ativo. O endereço de Bill provavelmente será adicionado a outras listas de spam como um hit confirmado.
Local de Emprego, Cargo, Linha de Trabalho e Cadeia de Comando
Seu bloco de assinatura geralmente fornece seu cargo, o nome da empresa em que você trabalha (que também revela o tipo de trabalho que você faz), seu e-mail e seus números de telefone e fax. Se você adicionou "enquanto eu estiver fora, entre em contato com meu supervisor, Joe Somebody" então você acabou de revelar sua estrutura de subordinação e sua cadeia de comando também.
Engenheiros sociais podem usar essas informações para cenários de ataques de personificação. Por exemplo, eles podem ligar para o departamento de RH da sua empresa fingindo ser seu chefe e dizer:
Este é Joe Somebody. Bill Smith está viajando e preciso do CPF e do CPF dele para corrigir os formulários de imposto da empresa.
Algumas configurações de mensagens fora do escritório permitem que você restrinja a resposta para que ela vá apenas para membros do domínio de e-mail do host, mas a maioria das pessoas tem clientes e clientes fora do domínio de hospedagem, então esse recurso ganhou não os ajude.
Linha de fundo
Em vez de dizer que você estará em outro lugar, diga que você estará "indisponível". Indisponível pode significar que você ainda está na cidade ou no escritório fazendo uma aula de treinamento. Isso ajuda a evitar que os bandidos saibam onde você realmente está.
Não fornecer informações de contato
Não dê números de telefone ou e-mails. Diga a eles que você monitorará sua conta de e-mail caso eles precisem entrar em contato com você.
Evite informações pessoais e remova seu bloqueio de assinatura
Lembre-se de que estranhos e possivelmente golpistas e spammers podem ver sua resposta automática. Se você normalmente não forneceria essa informação de assinatura para estranhos, não a coloque em sua resposta automática.