Det er ferietid og da er det mange som setter opp epostsystemene sine til å sende automatiske svar til henvendelser som kommer inn. Det er båda praktisk og lettvint, og kan gi den som prøver å ta kontakt nyttig informasjon om alternative kontaktpunkter eller når en kan forventes tilbake.
Men det gir også informasjon til mulige svindlere.
Jo mer en svindler vet om din bedrift, jo større muligheter har hen til å lykkes med en svindel rettet mot den. Automatiske epostsvar kan gi mer informasjon enn man kanskje tenker over, og vi har sett eksempler på at det blir brukt til å kartlegge, og til og med gjennomføre svindelforsøk mot bedrifter.
En teknikk jeg har sett brukt, er ganske enkelt å sende en tilsynelatende uskyldig epost til så mange addresser man klarer å finne i bedriften. Selve eposten og innholdet i den er i seg selv ikke viktig, men ved å se på hvem man får automatiske svar fra, kan svindlerne få oversikt over hvem som er på reise, og ofte også mer, som hvor de er, hvem de arbeider tett med, og når de kan ventes tilbake.
Dette kan være nyttig informasjon for en svindler som ønsker å ramme din bedrift.
Noen alternativer
Ett alternativ til autosvarmeldinger kan være å heller sette opp en midlertidig videresending av epost til en kollega. Evt. en selektiv videresending basert på avsender, emnefelt eller andre kriterier. F.eks. kan epost fra en kunde videresendes til kollegaen mens meldinger fra HR eller lønnskontoret ikke blir det.
Et annet alternativ kan være å rett og slett gi en kollega direkte tilgang til epostkontoen din. Det er en løsning jeg kun vil anbefale dersom du er 100% sikker på at du ikke mottar noe personlig informasjon på den epostkontoen. Husk i tilfelle på at informasjon fra andre deler av selskapet, f.eks. ledelse, HR eller andre også kan være personlig—og til og med personsensitiv—informasjon!
Et tredje alternativ er å holde et halvt øye med på eposten selv om man er på reise. I hvertfall på jobbreiser. Da kan man selv selektivt videresende meldinger til kolleger på kontoret om det er noe som ikke kan vente til en kommer tilbake.
Det er ikke sikkert at noen av disse alternativene er det riktige for din bedrift. Det viktigste er å tenke over både fordeler og ulemper ved løsningene man tar i bruk, og å utarbeide retningslinjer for når og hvordan de kan brukes.
Forslag til retningslinjer
Som ofte ellers når det kommer til sikkerhet, så er det ikke så lett å gi noen absolutte retningslinjer for hva som er den beste løsningen for din bedrift.
Jeg vil anbefale at bedriften tenker igjennom og setter opp retningslinjer tilpasset deres behov. Dette bør være en del av retningslinjene for bruk av epost og bedriftens epostkontoer.
Viktigere enn bruk eller ikke bruk er retningslinjer for hva slags informasjon det evt er greit å ta med i meldingene. Her kan bedriften utarbeide en mal som de forventer at de ansatte bruker.
Et eksempel på en slik mal kan være:
Hei,
Jeg er for tiden ikke i stand til å svare på meldingen din, men vil komme tilbake til den så snart jeg kan. Hvis det haster, ta kontakt med vårt sentralbord på post@example.com eller tlf 12345678.
Vennlig hilsen,
Pliktoppfyllende Ansatt
Her gir vi minimalt med informasjon til evt. svindlere, men nok til at kunder eller andre legitime henvendelser kan komme i kontakt med bedriften om de trenger det.
Trenger du hjelp?
Phishing er en av de vanligste metodene brukt av svindlere og kriminelle til å få tak i sensitiv informasjon. Dette kan de igjen bruke til å svindle deg eller bedriften din for penger, men også til å skaffe seg tilgang til bedriftens interne nettverk.
I følge IT sikkerhetsselskapet Sophos sin siste rapport oppga 11% av selskaper utsatt for løspengevirus at phishing-epost var den utløsende årsaken. Hele 34% av angrepene startet med en ondsinnet epost, enten phishing eller en epost med et infisert vedlegg eller en lenke som installerer skadevare.
Eilertsens Kodeknekkeri kan bistå med kursing av ansatte, rådgivning og phishing-simulering, for å teste og trene din bedrifts beredskap mot slike angrep. Ta kontakt, så ser vi hva vi kan hjelpe dere med.