Liệu một email trả lời tự động trong thời gian nghỉ phép hay đi công tác (out-of-office) quá chi tiết có thể gây rủi ro bảo mật cho tổ chức không? Nhiều người dùng Internet đã nhận được email giả mạo từ người quản lý của mình, yêu cầu mua thẻ quà tặng cho một sự kiện sắp tới, rồi cào mã số ở mặt sau và gửi email. Chỉ đến khi đã gửi email với mã thẻ quà tặng thì người dùng đó mới nhận ra điều gì đó đáng ngờ. Đây là một cuộc tấn công lừa đảo qua email. Nhưng làm thế nào mà tin tặc biết người quản lý của anh ta là ai?

Bạn có thường xuyên cài đặt thông báo vắng mặt bằng cách sử dụng công cụ tự động trả lời không? Thông báo này thường bao gồm một liên hệ dự phòng là người quản lý để liên lạc trong trường hợp khẩn cấp và được gửi qua email cho tất cả những người gửi email cho bạn, kể cả những người phát tán thư rác.

Thực sự không có cơ sở hạ tầng bảo mật, ứng dụng và chương trình đào tạo bắt buộc nào của tổ chức đủ để giúp ngăn chặn điều này. Nếu không có công cụ kiểm soát việc gửi thông tin ra bên ngoài một cách hiệu quả (điều này rất khó thực hiện vì việc xuất hiện các đối tác mới là không thể tránh khỏi), thì cần có các chính sách chặt chẽ hơn về việc thông tin nào có thể được đưa vào thông báo vắng mặt hoặc vô hiệu hóa việc sử dụng thông báo này hoàn toàn.

Thông báo vắng mặt tại văn phòng giúp đồng nghiệp và khách hàng được thông báo trong thời gian người dùng vắng mặt, nhưng cũng là một mỏ vàng cho những kẻ kiếm sống bằng lừa đảo qua email. Theo báo cáo của Trung tâm tiếp nhận các khiếu nại tội phạm Internet thuộc FBI (Internet Crime Complaint Center - IC3), các công ty và tổ chức ở Hoa Kỳ đã mất 12 tỷ USD trong 5 năm qua cho các vụ lừa đảo email doanh nghiệp. Đây là một mối đe dọa ngày càng gia tăng đối với các tổ chức. Với 98% các cuộc tấn công từ email, điều quan trọng là người dùng không cung cấp thông tin giúp việc thực hiện các cuộc tấn công này dễ dàng hay tinh vi hơn.

Hãy so sánh 3 mẫu thư trả lời tự động dưới đây. Có thể nhận thấy mẫu thư màu vàng khá khác thường vì cung cấp cả thông tin cá nhân. Tuy nhiên, không ít người dùng đôi khi vẫn làm những điều tương tự. Việc đưa địa chỉ thư điện tử của người quản lý/ đồng nghiệp vào nội dung thông báo là không cần thiết. Đồng nghiệp hoặc các đối tác/khách hàng quen thuộc thường đã biết địa chỉ thư cần thiết. Còn những đối tác mới thì bạn không cần và không nên cung cấp thông tin kiểu đó.    

Thông báo vắng mặt có thể làm rò rỉ thông tin theo các hình thức sau:

- Trả lời tự động cho bất kỳ email nào nhận được sẽ giúp người gửi xác nhận rằng họ có địa chỉ email hợp pháp. Dựa trên điều này, họ có thể tạo lại địa chỉ email cho các thành viên khác trong tổ chức của bạn.

- Hầu hết các thư trả lời tự động trong thời gian vắng mặt tại văn phòng gồm có thông tin chi tiết về những người cần liên hệ trong thời gian vắng mặt, thường là người quản lý hoặc thành viên khác trong nhóm. Điều này tạo cơ hội cho các cuộc tấn công lừa đảo.

- Việc đưa cả thời gian nghỉ phép vào email trả lời tự động giúp những kẻ tấn công biết được chúng phải mất bao nhiêu thời gian để thực hiện một cuộc tấn công tinh vi hơn.

- Thông tin chi tiết về kỳ nghỉ/chuyến công tác giúp cho kẻ tấn công dễ dàng mạo danh người dùng trong email gửi cho đồng nghiệp của bạn, từ đó chúng có thể lừa họ cung cấp thêm thông tin.

- Chữ ký email bao gồm thông tin về chức danh, bộ phận công tác và số điện thoại của người dùng cũng cung cấp thông tin cho kẻ tấn công để mạo danh người dùng gửi email cho nhóm làm việc của bạn hoặc để thực hiện các cuộc tấn công tinh vi hơn.

Mặc dù một thông báo trả lời tự động với thông tin chi tiết khi nghỉ phép giúp nhóm làm việc và khách hàng của người dùng có thể tiếp tục hoạt động bình thường khi bạn vắng mặt, nhưng thực sự nó không quá cần thiết trong khi có thể khiến tổ chức bị tấn công. Nếu không làm việc với khách hàng hoặc nhà cung cấp bên ngoài, hãy thay đổi cài đặt để chỉ tự động trả lời những bức thư nội bộ.

Nếu cần gửi email ra bên ngoài, hãy thiết lập hai loại thông điệp trả lời riêng nếu hệ thống email cho phép. Thông điệp gửi ra bên ngoài nên có lượng thông tin ít nhất có thể. Không nên tiết lộ thời gian vắng mặt tại văn phòng trong thư trả lời tự động. Tốt nhất là liên lạc trực tiếp với nhóm làm việc/khách hàng/nhà cung cấp nếu người dùng sẽ không làm việc một vài ngày trước khi nghỉ phép hoặc đi công tác. Không đưa thông tin liên lạc dự phòng trong email trả lời tự động và nếu buộc phải làm điều này thì đừng để lộ thông tin quản lý hoặc chi tiết về vai trò của thành viên nhóm. Không cung cấp thông tin về điểm đến hoặc hoạt động của người dùng khi nghỉ phép, chỉ chia sẻ thông tin mà đồng nghiệp/đối tác cần biết. Cuối cùng, bỏ chữ ký email khỏi thông báo trả lời tự động.

Người dùng cũng có thể sử dụng các cách khác để thông báo sự vắng mặt của mình, chẳng hạn như ngăn không cho đồng nghiệp/đối tác đặt lịch làm việc trong thời gian bản thân vắng mặt hoặc thay đổi trạng thái trên ứng dụng nhắn tin, hay gửi email với các chi tiết cần thiết trước khi khởi hành.