Respostas automáticas podem ser um tesouro de engenharia social; entenda os riscos

O perigo está em dois pilares importantes na decisão de usá-las: o que você vai escrever na resposta automática e quem vai receber

Melissa Cruz Cossetti
• Atualizado há 2 anos e 3 meses
Gmail / Jay Wennington / Unsplash

Vai sair de férias, viajar a trabalho ou está deixando um projeto ou time? Não importa, as chances de você usar uma resposta automática no seu e-mail — ou mesmo nos seus mensageiros — é grande. Em sua defesa, todos sabemos que respostas automáticas de e-mail são importantes para que clientes e colegas saibam a quem contatar na sua ausência (e não terminem interrompendo o seu lazer para perguntar alguma coisa).

O perigo está em dois pilares importantes na decisão de usá-las: o que você vai escrever no e-mail de resposta e quem vai receber esses e-mails disparados eletronicamente. É capaz de que essas mensagens contenham informações como a duração da sua viagem, informações de contato do responsável na sua ausência, além de instruções detalhadas.

Replies automáticos parecem inofensivos, mas podem se tornar um risco corporativo ou doméstico se você não restringir a lista de destinatários. Ao enviar para todos, vai acabar entregando o ouro para spammers ou viabilizar ataque de phishing direcionado.

O reply automático permite saber que o endereço de e-mail é válido e pertence a uma pessoa específica, com primeiro e último nome, cargo e, às vezes, número de telefone. Alvos fáceis que oferecem um tesouro de dados de engenharia social a criminosos.

O que é engenharia social?

No contexto de segurança digital, engenharia social se refere à manipulação de pessoas para a execução de ações (abrir anexos infectados, baixar arquivos, permitir acessos) ou divulgar informações confidenciais baseada em dados que ela mesma deixou escapar. Um tipo de intrusão que depende fortemente de interação humana e envolve enganar outras pessoas para quebrar camadas de segurança. Um ataque clássico de engenharia social é quando uma pessoa se passa por outra.

O que pode acontecer na resposta automática?

Imagine que você sai de férias, deixando a resposta automática liberada para todos e cheia de detalhes, como a data em que voltará. Quem alguém deve procurar se quiser falar sobre o “Projeto X” ou que “Y” está sob responsabilidade de alguém (e os contatos).

É possível que, em um phishing direcionado, esses contatos sugeridos por você recebam mensagens de criminosos se passando por pessoas que trabalham com você. Referindo-se a uma discussão anterior com o responsável do “Projeto X” e enviando um anexo infectado. O resumo é simples: quanto mais sabem, mais convincentes serão.

Como criar mensagens automáticas seguras?

Não há garantias totais, mas você pode ser um pouco mais cuidadoso na hora de escrever o seu reply automático. Quem for administrador de um domínio de e-mail pode, também, propor algumas regrinhas internas e limites que vão ajudar.

As dicas são válidas também para uso doméstico. Afinal, quem nunca recebeu um e-mail que era claramente um golpe de phishing, com promessa de casamento, dinheiro e outras mensagens absurdas que chegam todos os dias na nossa caixa de entrada?

A Kaspersky Lab orienta 5 medidas para prevenir dores de cabeça com as respostas automáticas: “Uma política sensível sobre mensagens de ausência é necessária”.

  1. Determine quais colaboradores realmente precisam de respostas automáticas. Se um funcionário lida com poucos clientes, pode notificá-los direto e pessoalmente.
  2. Para colaboradores cujas tarefas estão sendo cobertas por apenas uma pessoa, faz sentido utilizar redirecionamentos, ainda que nem sempre seja muito conveniente.
  3. Recomenda-se criar duas opções de resposta automática – uma para endereços internos (da mesma empresa) e outra para externos. Informações mais detalhadas aos colegas, enquanto, as pessoas de fora do time devem saber o mínimo possível.
  4. Se um colaboradores corresponde-se com colegas apenas, o administrador da rede pode eliminar a ideia de respostas automáticas para endereços externos.
  5. Em qualquer caso, aconselhar quanto ao fato de que essas mensagens não devem possuir informações delicadas. Nomes de linhas de produtos, de clientes, número de telefones de colegas, informações sobre onde e quando estarão de férias…

Como funcionam as respostas automáticas do Gmail

Segundo o Google (trago aqui as respostas do Gmail, o mais popular), sua resposta automática de férias começa à meia-noite na data de início e termina às 23h59 na data de término — a menos que você a finalize antes. Na maioria dos casos, a resposta automática só é enviada às pessoas na primeira vez que elas enviam um e-mail para você.

Quem pode ver seu reply automático de férias mais de uma vez:

  • Se a mesma pessoa entrar em contato novamente após quatro dias do primeiro e-mail e a resposta automática de férias ainda estiver ativada, verá o reply de novo.
  • Sua resposta automática vai zerar a contagem sempre que você editá-la. Se alguém receber sua resposta automática de férias inicial e enviar um e-mail após você editá-la, essa pessoa verá sua nova resposta. Portanto, evite editar após ativá-la.
  • Se você usar o Gmail no trabalho, na escola ou na empresa, poderá escolher se a resposta será enviada a qualquer pessoa ou apenas às pessoas da organização.

Quem não recebe seu reply automático:

As mensagens que vão para a pasta “Spam” (lixo eletrônico) e as endereçadas a uma lista de e-mails em que você se inscreveu (newsletter) não recebem o reply automático.

Como ajustar suas respostas automáticas?

Resposta Automatica Gmail

  1. Abra o Gmail;
  2. Clique em “Configurações” (ícone de engrenagem) e “Configurações” novamente;
  3. Role para baixo até a seção “Resposta automática de férias”;
  4. Selecione “Resposta automática de férias ativada”;
  5. Preencha o intervalo de datas, o assunto e a mensagem (seguindo as dicas acima);
    Na mensagem, marque a caixa se você quiser que apenas seus contatos (pessoas que fazem parte dos seus contatos Google) a vejam. Isso já ajuda a reduzir acesso. Em caso de ser uma organização, escolha se todos ou só colegas recebem o reply.
  6. Na parte inferior da página, clique em “Salvar alterações”.

Observação:

Se você tiver criado uma assinatura do Gmail, ela será mostrada na parte inferior da sua resposta automática. Sendo assim, vale a pena tirar telefone e outras informações.

 

Relacionados

Escrito por

Melissa Cruz Cossetti

Melissa Cruz Cossetti

Ex-editora

Melissa Cruz Cossetti é jornalista formada pela UERJ, professora de marketing digital e especialista em SEO. Em 2016 recebeu o prêmio de Segurança da Informação da ESET, em 2017 foi vencedora do prêmio Comunique-se de Tecnologia. No Tecnoblog, foi editora do TB Responde entre 2018 e 2021, orientando a produção de conteúdo e coordenando a equipe de analistas, autores e colaboradores.