Out of office: Less is More
Onbewust veiligheidsrisico door verkeerde out of office reactie
Met het vakantieseizoen in het verschiet zullen veel mensen ernaar uitkijken om het werk even naast zich neer te leggen, een automatische out of office reactie in te stellen op hun e-mailaccount en te genieten van hun welverdiende rust. Groot gelijk! Toch kunnen deze out of office reacties onbewust een veiligheidsrisico vormen door cybercriminelen te voorzien met een schatkist aan informatie die zij kunnen gebruiken om een aanval op jou, jouw collega’s of je organisatie voor te bereiden.
Daarom licht ik in deze blog graag de risico’s toe die vastzitten aan out of office reacties en geef ik een aantal tips mee om ervoor te zorgen dat je deze reacties op een veilige, doch informatieve manier opstelt.
Laten we dit doen aan de hand van een fictief voorbeeld van een out of office reactie:
Hi,
Bedankt voor je mail. Ik ben echter van 13 tot en met 28 juli op vakantie op Bali en ben dus pas vanaf maandag 29 juli weer bereikbaar. Voor vragen kan je contact opnemen met mijn manager Lisa Janssen via Lisajanssen@organisatie.nl of 06 123456789. In urgente gevallen kan je mij op mijn privénummer bereiken op 06 987654321. Ik zal zo snel mogelijk bij je terugkomen zodra ik weer aan het werk ben
Met vriendelijke groet,
Bob Timmerman - Quality Engineer
Bobtimmerman@organisatie.com
06 567891234
In deze reactie zit veel informatie die voor cybercriminelen enorm waardevol kan zijn:
- Locatie
Door te vertellen waar je je tijdens je vakantie bevindt, kunnen criminelen deze informatie gebruiken om een overtuigende spearphishing aanval op te stellen. Ze kunnen nu dus refereren naar jouw vakantie op Bali, wat een phishingmail overtuigender en betrouwbaarder over laat komen. Bovendien weten zij nu dat je niet thuis bent, wat het risico op een fysieke inbraak vergroot. - Contactinformatie
Door de contactinformatie van zowel jouzelf als jouw manager in je out of office mee te nemen, geef je veel onnodige informatie weg. Criminelen kunnen deze informatie gebruiken om realistische en doelgerichte aanvallen op te stellen. Ook het delen van je privénummer in de out of office, geeft hackers een extra mogelijkheid om een aanval op te zetten, door bijvoorbeeld Whatsapp phishing. - Functietitels en handtekening
Door zowel je eigen functietitel in je out of office reactie op te nemen als te benoemen wie je manager is, geef je wederom veel informatie aan mogelijke criminelen en verklap je een onderlinge hiërarchie. Dit is allemaal informatie die tegen jou of collega’s gebruikt kan worden in de vorm van doelgerichte phishingmails. - 'Header' informatie
Elke mail bevat zogenaamde ‘header’ informatie, die je kunt inzien in de eigenschappen van de mail. Dit bevat technische details over onder andere de verzender en ontvanger, maar ook over de software en servers die gebruikt zijn bij het opstellen en verzenden van de mail. Al deze informatie kan voor hackers erg interessant zijn bij het opzetten van een aanval en deel je daardoor dus liever niet met vreemden.
Dus, hoe moet een out of office reactie eruit zien?
- Interne versus externe berichten
Allereerst is het belangrijk dat je goed checkt of het nodig is om een out of office voor externe e-mailadressen in te stellen. Je kunt namelijk met je collega’s meer informatie delen dan met onbekende e-mailadressen van buitenaf. Bovendien voorkom je daarmee dat cybercriminelen mogelijk toegang krijgen tot de eerder beschreven informatie uit de header van je mail. - Locatie
Deel je locatie niet, maar vermeld alleen de datum vanaf wanneer je weer bereikbaar bent. - Contactgegevens
Deel alleen noodzakelijke contactgegevens. In een ideaal geval is er een supportteam of helpdesk beschikbaar dat vragen kan oppakken. Is dit er niet? Deel dan alleen contactgegevens van een ‘collega’, zonder daarbij functietitels of een onderlinge hiërarchie te vermelden. - Handtekening
Zet je handtekening uit. Je bericht afsluiten met alleen je naam, zonder daarbij je volledige handtekening te gebruiken, is voldoende.
Een voorbeeld:
Hi,
Ik ben tot 28 juli niet bereikbaar. Voor urgente vragen of opmerkingen kan je contact opnemen met onze supportafdeling via support@organisatie.com.
Ik zal je bericht lezen zodra ik weer aan het werk ben!
Vriendelijke groet,
Bob
Simpele acties voorkomen onnodig risico
Met deze simpele en effectieve veiligheidsmaatregelen kan je collega’s en zakelijke relaties op de hoogte brengen van jouw afwezigheid, zonder dat je mogelijke cybercriminelen munitie geeft om jou of je organisatie mee aan te vallen.
En mocht je nog op vakantie gaan: een fijne en veilige vakantie toegewenst!