Messaggi “out of office”: meglio non rivelare troppe informazioni

7 Mar 2019

Prima di andare in vacanza o di partire per un viaggio d’affari, in molti preparano un messaggio di risposta automatica per le e-mail di lavoro in arrivo; in questo modo, colleghi e clienti sapranno chi contattare in caso di bisogno. Di solito, questi messaggi comprendono alcune informazioni come durata dell’assenza, contatto della persona incaricata di sostituire la persona in questione e talvolta anche alcuni dettagli sui progetti in corso.

Le risposte automatiche possono sembrare innocue ma potrebbero essere un rischio per l’azienda. Se un dipendente non circoscrive l’elenco dei destinatari, la risposta automatica arriverà a chiunque invii un’e-mail a quella casella di posta, incluso eventuali cybercriminali o spammer che sono riusciti a superare i filtri e-mail. E le informazioni presenti nel messaggio di risposta automatica potrebbero persino essere sufficienti per portare a termine un attacco mirato.

Un messaggio di una riga, una serie di problemi

Se parliamo di spammer, i messaggi di risposta automatica potrebbero far sapere loro che l’indirizzo e-mail è attivo e appartiene a una persona in concreto. Dal messaggio si possono ricavare il nome e il cognome e la sua posizione lavorativa. La firma comprende di solito anche un numero di telefono.

Gli spammer solitamente prendono gli indirizzi da colpire da un grande database, che poco a poco diventa datato e meno efficace. Ma se individuano una persona in carne e ossa, i cybercriminali la considerano come un obiettivo fattibile e iniziano a inviare e-mail con maggiore frequenza o persino a chiamare, ed è il minor inconveniente che possa capitare.

Se il messaggio automatico di out of office viene inviato in risposta a un’e-mail di phishing, le informazioni offerte che riguardano il dipendente sostituto (nome, posizione, orari di lavoro e numero di telefono) possono essere utilizzati per un attacco di spear phishing. Il problema non riguarda solo le grandi aziende e, di fatto, i messaggi di risposta automatica sono un vero e proprio tesoro di dati per qualsiasi tecnica di ingegneria sociale.

Cosa potrebbero fare i cybercriminali?

Immaginate che Mario vada in vacanza e preparai un messaggio dettagliato di risposta automatica. Ad esempio: “Non sarò in ufficio fino al 27 marzo. Per questioni riguardanti il progetto Camomile, si prega di mettersi in contatto con Tatiana Morelli (e-mail e numero di telefono). Per quanto riguarda la riprogettazione di Medusa, la persona incaricata di sostituirmi è Giovanni Rossi (indirizzo e-mail e numero di telefono).

Giovanni riceve un messaggio che sembra provenire dal direttore di Medusa LLC dove, facendo riferimento a una precedente conversazione con Mario, i cybercriminali chiedono a Giovanni di dare un’occhiata al design dell’interfaccia utente. In una situazione del genere, Giovanni sarà più propenso ad aprire l’allegato o a cliccare sul link, esponendo il proprio computer di lavoro a rischio di infezione.

Inoltre, i cybercriminali possono ricavare informazioni private mediante lo scambio di e-mail, sempre facendo riferimento al dipendente assente e al fantomatico rapporto di lavoro precedente. E quante più informazioni riguardanti la compagnia hanno a loro disposizione, maggiore è la probabilità che il dipendente sostituto invii documenti interni o sveli un segreto industriale.

Come proteggersi

Per evitare grattacapi con i messaggi di risposta automatica, è necessario adottare una politica ben precisa in merito a questo argomento:

  • È importante definire chi ha davvero bisogno di inviare questi messaggi. Se un dipendente gestisce solo un paio di clienti, in caso di assenza può occuparsi di avvisarli direttamente, via e-mail o per telefono;
  • Se le mansioni del dipendente vengono affidate a un solo sostituto, può avere senso reindirizzare i messaggi. È vero, spesso non è il metodo più comodo, ma per lo meno si ha la garanzia che nessun messaggio vada perduto;
  • I dipendenti dovrebbero creare due opzioni di risposta automatica, una per i colleghi, l’altra per indirizzi e-mail esterni. Nel messaggio rivolto ai colleghi si possono dare informazioni più dettagliate, mentre nell’altro sarebbe meglio indicare quanto meno dati possibili;
  • Se un dipendente scambia messaggi solo con altri colleghi, vale la pena escludere dalla risposta automatica tutti gli indirizzi esterni;
  • In ogni caso, lo staff deve essere consapevole che le risposte automatiche non devono contenere informazioni superflue. Parliamo di nomi di linee di prodotto o nomi di clienti, numeri di telefono dei colleghi, informazioni sul luogo di vacanza del dipendente assente o altro;
  • È necessario adottare una soluzione di sicurezza sul server di posta, che individui automaticamente i tentativi di spam e di phishing e che allo stesso tempo analizzi gli allegati alla ricerca di malware.