「我現在不在辦公室 」! 當心 outlook郵件自動回覆訊息,通知駭客攻擊時間表

華爾街日報報導指出,員工不經意的行為恐讓銀行斥資數十億美元的防駭努力破功。比如駭客可從社交網站追蹤攻擊目標的員工分享的生活點滴,伺機找出攻擊時間點和可下手的員工, 許多銀行禁止員工使用USB等可攜式裝置,美國銀行(BoA)勸告員工不要使用語音和電子郵件的「不在辦公室」自動回覆功能,以免駭客盯上無人看管的電腦,趁隙攻擊。更多報導 請參考:駭客入侵銀行 從員工下手

防止資料外洩和針對性攻擊/鎖定目標攻擊(Targeted attack)是IT管理人員最關心的問題之一。管理人員所特別注意的事情之一,是對可能成為目標攻擊受害者的高價值人員所做的勘查和針對行為。不過,一個比較不被人注意到的資料外洩來源是Outlook 自動回覆(out-of-office)通知。 試想一下標準的外出通知內容。會有收件者為何不在辦公室內的簡短說明,寄件者可以聯絡的替代對象,以及他們何時回來的預定時間。也可能包括使用者的電子郵件簽名,如果有的話。

約一半的魚叉式網路釣魚(Phishing)目標的電子郵件在Google上找得到
單獨來看,這些資訊似乎不是很多。然而,一個不懷好意的攻擊者可以輕易地去收集多個外出通知。根據趨勢科技發表的魚叉式網路釣魚(Spear Phishing)研究,大約有一半的魚叉式網路釣魚(Phishing)收件者的電子郵件地址可以利用Google在網路上找到。在大部分情況下,企業的電子郵件地址會遵循可預測的 firstname_lastname@companyname.com格式。這也使得只要知道員工的名字,就可以知道他們的電子郵件地址。

假期即將到來,也是不懷好意的攻擊者進行攻擊的機會來臨。當你使用這些自動回函時,心懷不軌的駭客,可說是找到”主人不在家”的大好機會,正好借機來個闖空門。無論是現實財務或是電子檔案,都有可能引發竊賊覬覦。 根據報導,這類行騙得逞的案例,還真不少。如果你沒有警覺心,而將一些機密資料洩漏給對方,那麼損失可就慘重了。

四個使用Outlook的郵件自動回覆功能的注意事項

當你離開辦公室時,相信你只希望Outlook的郵件自動回覆功能,給你業務往來的工作夥伴,不需要對不認識的陌生人大分貝昭告,”我-不-在-辦-公-室,歡-迎-來-闖-空-門!!

1. Outlook「郵件答錄機」自動回覆功能,別透露太多個人或他人訊息
提醒你,休假前,別忘了關閉所有網路連線。要不然,就得讓防毒軟體為你把關。使用Outlook「郵件答錄機」自動回覆功能設定時,言簡意賅,別暴露太多的行蹤與個人資料。 另外,與其說某項業務該如何去聯絡誰,不如改成「請通知我的主管」或「我的部門助理」。

2.公司內外設定不同的通知內容
使用者和IT管理人員可以做些什麼?幸運的是,電子郵件伺服器軟體在這些年已經大有進步了,可以適當地控制外出通知。例如,使用者可以設定通知給公司內部的人,而外部的人就用另外一份通知。

3.管理者可設定特定網域為不允許自動回覆黑名單
管理人員也可以強制使用更複雜的控制。可能不允許某些使用者發送外出通知給所有公司外的人,也可以將特定網域加入黑名單/白名單內,就看需要做到什麼等級的安全性。

4.你不一定要用自動回覆功能
使用者也可以選擇完全不使用這功能,直接手動發送電子郵件給該通知的人,說自己會不在辦公室。如此一來,當你在馬爾地夫享受陽光時,即使垃圾郵件(SPAM)進入你的信箱,別有居心者也不會得知你出遠門的訊息,但那些頂頭上司或是工作夥伴,卻可以知道你「暫停服務」的訊息。
總而言之,外出通知是攻擊者進行勘查時一個有價值的目標,但也是使用者和管理者可以將之控制在合理範圍的威脅。所需要作的只是讓大家了解到這種威脅的存在,希望已經達到這目的了。