Respostas automáticas podem ser um tesouro de engenharia social; entenda os riscos
O perigo está em dois pilares importantes na decisão de usá-las: o que você vai escrever na resposta automática e quem vai receber
O perigo está em dois pilares importantes na decisão de usá-las: o que você vai escrever na resposta automática e quem vai receber
Vai sair de férias, viajar a trabalho ou está deixando um projeto ou time? Não importa, as chances de você usar uma resposta automática no seu e-mail — ou mesmo nos seus mensageiros — é grande. Em sua defesa, todos sabemos que respostas automáticas de e-mail são importantes para que clientes e colegas saibam a quem contatar na sua ausência (e não terminem interrompendo o seu lazer para perguntar alguma coisa).
O perigo está em dois pilares importantes na decisão de usá-las: o que você vai escrever no e-mail de resposta e quem vai receber esses e-mails disparados eletronicamente. É capaz de que essas mensagens contenham informações como a duração da sua viagem, informações de contato do responsável na sua ausência, além de instruções detalhadas.
Replies automáticos parecem inofensivos, mas podem se tornar um risco corporativo ou doméstico se você não restringir a lista de destinatários. Ao enviar para todos, vai acabar entregando o ouro para spammers ou viabilizar ataque de phishing direcionado.
O reply automático permite saber que o endereço de e-mail é válido e pertence a uma pessoa específica, com primeiro e último nome, cargo e, às vezes, número de telefone. Alvos fáceis que oferecem um tesouro de dados de engenharia social a criminosos.
O que é engenharia social?
No contexto de segurança digital, engenharia social se refere à manipulação de pessoas para a execução de ações (abrir anexos infectados, baixar arquivos, permitir acessos) ou divulgar informações confidenciais baseada em dados que ela mesma deixou escapar. Um tipo de intrusão que depende fortemente de interação humana e envolve enganar outras pessoas para quebrar camadas de segurança. Um ataque clássico de engenharia social é quando uma pessoa se passa por outra.
Imagine que você sai de férias, deixando a resposta automática liberada para todos e cheia de detalhes, como a data em que voltará. Quem alguém deve procurar se quiser falar sobre o “Projeto X” ou que “Y” está sob responsabilidade de alguém (e os contatos).
É possível que, em um phishing direcionado, esses contatos sugeridos por você recebam mensagens de criminosos se passando por pessoas que trabalham com você. Referindo-se a uma discussão anterior com o responsável do “Projeto X” e enviando um anexo infectado. O resumo é simples: quanto mais sabem, mais convincentes serão.
Não há garantias totais, mas você pode ser um pouco mais cuidadoso na hora de escrever o seu reply automático. Quem for administrador de um domínio de e-mail pode, também, propor algumas regrinhas internas e limites que vão ajudar.
As dicas são válidas também para uso doméstico. Afinal, quem nunca recebeu um e-mail que era claramente um golpe de phishing, com promessa de casamento, dinheiro e outras mensagens absurdas que chegam todos os dias na nossa caixa de entrada?
A Kaspersky Lab orienta 5 medidas para prevenir dores de cabeça com as respostas automáticas: “Uma política sensível sobre mensagens de ausência é necessária”.
Segundo o Google (trago aqui as respostas do Gmail, o mais popular), sua resposta automática de férias começa à meia-noite na data de início e termina às 23h59 na data de término — a menos que você a finalize antes. Na maioria dos casos, a resposta automática só é enviada às pessoas na primeira vez que elas enviam um e-mail para você.
Quem pode ver seu reply automático de férias mais de uma vez:
Quem não recebe seu reply automático:
As mensagens que vão para a pasta “Spam” (lixo eletrônico) e as endereçadas a uma lista de e-mails em que você se inscreveu (newsletter) não recebem o reply automático.
Observação:
Se você tiver criado uma assinatura do Gmail, ela será mostrada na parte inferior da sua resposta automática. Sendo assim, vale a pena tirar telefone e outras informações.