休假之前,很多员工都喜欢在工作邮件和电话系统中设置“Out Of Office”消息。然而,这种便利的沟通手段,如果被不当使用,会成为公司的安全噩梦。此前我们在“自动应答给攻击者开了方便之门”中有一项调查,半数员工会在电子邮件自动消息中提及休假期间、紧急事务联系号码或授权代理联络人。
然而,善良的人们往往不会注意到,他们提供了太多的信息,而给心怀不轨的坏家伙们留下了入侵公司进而窃取敏感信息资产的后门。昆明亭长朗然科技有限公司安全教育顾问James Dong说:是这些员工们故意想透露这些消息给坏人们吗?当然不是,他们没有认识到所提供的这些休假提醒消息会落入坏人之手并被用于恶意目的。
社会工程学攻击者会利用一片一片的消息来组合成一个巨大的资源库,建立起目标组织内部人员关系图和组织架构图,进而灵活地演变成一个个角色,来实施深度的违法和诈骗活动。比如一名黑客冒充资深客户,打电话给休假人员,看联系不上,便打给帮助台,投诉说休假人员答应休假之前发送一份敏感文件给他,可是一直没收到,刚联系到休假人员,说要帮助台帮忙解决……
社工黑客近几年呈现飞速增长的趋势,而且从安全技术控管层面很难有效防范。如何降低这类风险呢?提升员工们的安全意识觉悟是基础。在休假或外出之前,应该如何正确设置自动回复消息呢?这同样应该源自对安全理念的认知。我们分享如下几条建议:
- 在服务器上设置,只将自动答复回复给给公司内部人员;
- 教育员工保持消息的精练和概要;
- 避免告知休假或外出的日程计划;
- 不要在自动回复中加入详细联络方式的签名;
- 教育员工警惕社会工程学攻击企图;
- 教育员工发现可疑的社工攻击之时立即报告;
不少公司都希望激发员工的工作热情、文化认同感、自豪感和团队协同工作精神,可是这些并不与信息安全冲突,相反,如果被社工黑客从心理上加以利用,则可能会得不偿失。通过加强信息安全保密意识教育,可以让人们有理有节有效地协同工作,又能保障信息的安全。
