במשך שנים, מטיילים ברחבי העולם הוזהרו שלא לפרסם ברשתות החברתיות מידע בזמן טיולם.
בעידן המודרני, כמעט מרגיש לנו לא טבעי שלא לשתף את החברים והמשפחה בתמונות ומידע על המקומות בהם ביקרנו, אבל החשש נעוץ בעובדה שאנחנו בעצם “מספקים” מידע בחינם על כך שהבית שלנו פנוי. תשובה תמימה בקשר למשך החופשה יכולה לתת לפורצים את כל המידע שהם צריכים כדי לדעת מתי לפרוץ לביתנו.
בהתחשב בכתוב מעלה, מדוע עסקים ממליצים להזין תשובות out of office כאשר העובדים נמצאים בחופשה? תקיפה דרך המייל הוא התקיפה הנפוצה ביותר להתקפות הנדסה חברתיות ולמעשה תשובת out of office שאינה מנוסחת נכון יוצרת הזמנה פתוחה למתקפות.
זו באמת דילמה מקצועית, אנו מודיעים לעמיתים לעבודה, לקוחות וספקים שאנו איננו זמינים ו/או יגרם עיכוב בתגובה שלנו ואנו מיידעים אותם עם מי הם צריכים לדבר אם העניין דחוף.
עובדים לעתים קרובות גם מוסיפים תשובה מאוד גנרית דקות ספורות לפני יציאתם לחופשה. משהו בסגנון :
“תודה על המייל, אני מחוץ למשרד בין התאריכים 14 לספטמבר ועד ה 25 לספטמבר. בהיעדרותי, יש ליצור קשר עם המנהל הישיר שלי במייל [email protected] ואם העניין דחוף צרו עמי קשר למס’ טלפון 050-3334455” .
למרות שרוב הנמענים לא יעשו יותר מדיי עם המידע בהודעה זו חוץ מאולי לקנא במיקום של כותב ההודעה, חשוב לזכור שההודעה נשלחת גם כמענה להתקפות דיוג או מיילים זדוניים שעלולים להתגנב לתיבת הדואר הנכנס.
תוקפים יודעים שבזמן ההיעדרות של אותו עובד, הזמינות של אותו עובד נפגעת ויש סיכוי לא רע בכלל שהמנהל של אותו עובד יוכל לפול קורבן למתקפה מהונדסת היטב כי לא יהיה נעים למנהל להטריד את העובד שלו שנמצא בחופשה בשאלות.
המידע הכי חיוני לפושעי רשת הוא התקופה שבה העובד נעדר- למעשה זמן זה הוא חלון מדויק לתכנון וביצוע של תקיפה.
לאחר שתוקף יוודא את חלון ההזדמנויות, התוקף יצור כתובת אימייל מזויפת שהיא כמעט זהה לזו של העובד ולהתחזות לה בפני עמיתים לעבודה בניסיון לסחוט מידע רגיש או כסף. לעתים קרובות המתחזה יטען שהוא לא פנוי לדבר בטלפון והבקשה דחופה, מה שמקבל לגיטימציה מפאת העובדה שהעובד האמיתי נמצא בחופשה.
בדו”ח של ה FBI משנת 2021, נחשף כי ההיקף הכספי של תקיפה ופגיעה דרך הדוא”ל הסתכמו ב 2.4 מיליארד דולר. יותר משליש מכלל ההיקף הכספי של כלל פשעי הסייבר בארה”ב לשנה זו.
שיטות עבודה מומלצות לשימוש ב - Out Of Office
הטיפ שלנו הוא לייצר הודעות Out Of Office שונות לאנשי קשר פנימיים ולאנשי קשר חיצוניים. אנשי קשר חיצוניים צריכים מידע מינימלי ולא סביר שהם יזדקקו למספר הטלפון הנייד שלכם או לדעת היכן אתם בחופשה. במקום זאת, פשוט צריך לשמור על מסר קצר וקולע אשר מציין שאינך זמין כרגע ותשיב עם שובך. נסה לצמצם ככל האפשר מידע אישי כגון מספר הנייד או כתובת דוא”ל חילופית. אין צורך לכלול פרטים על הטיול או על הסיבה שלמענה יצאת לחופש . כל מידע עודף יגרום לתוקף להתחזות בצורה טובה יותר.
כמו כן איננו ממליצים להשתמש בשם המנהל הישיר, לתת את מס’ הטלפון ו/או את כתובת המייל שלו אלא להשתמש בכתובת מייל גנרית.
מצ”ב דוגמא להודעה שכזו:
” תודה על המייל. כרגע איני נמצא ליד מחשב וייתכן עיכוב במתן המענה. אם העניין דחוף, צור קשר עם [email protected] והדוא”ל שלך יופנה לחבר צוות מתאים.”
