På jobbresan eller under julledigheten är det vanligt att man ställer in ett så kallat out of office-meddelande på sin mail – och som automatiskt generar ett svar till alla som försöker nå dig.
Men det finns fällor att se upp för, och som i värsta fall spelar nätkriminella rakt i händerna.
”Jag kommer vara i Spanien över julhelgen, och är åter 13 januari. Vid brådskande ärenden, kontakta mig på 010-1234567, eller min kollega Erik Eriksson på erik.eriksson@mail.se eller på 010-7654321”.
Så kan det många gånger se ut när kunder och kollegor försöker maila dig under semestern. För det otränade ögat kan det verka som ett oskyldigt och trevligt sätt att informera kollegor och kunder om att du inte är tillgänglig, och vem de ska vända sig till istället. Samtidigt är det värdefull information som kan användas av personer som absolut inte vill ska få tillgång till den.
Fredrik Möller, Nordenchef på cybersäkerhetsföretaget Proofpoint förklarar:
– Baserat på ett traditionellt skrivet out of office-meddelande kan hackare maila ut om en brådskande betalning, som du på grund av en dåligt fungerande hotelluppkoppling inte kan hantera. Plötsligt verkar det som att bluffmailet hackaren skickar ut i ditt namn är författat av dig. Dina kunder och dina anställda vet ju var du befinner dig och att det är fullt rimligt att du faktiskt upplever tekniska bekymmer, säger Fredrik Möller.
Ett ökande hot
I cybersäkerhetstermer kallas den här typen av attacker för ”spoofing”, och är ett växande problem som kostar enorma summor. Enligt FBI uppgår det sammanlagda bytet från den här typen av angrepp till mer än 200 miljarder kronor under de senaste tre åren.
Tidigare drabbade det här främst personer i olika chefspositioner, men de senaste åren har hackare även börjat fokusera på övriga anställda på företagen. En lyckad spoofing-attack är också oftast beroende av att hackaren vet så många detaljerade uppgifter om offret som möjligt.
– Med ett out of office-meddelande som avslöjar för mycket vet hackaren till och med vem som sköter dina arbetsuppgifter under din frånvaro. Den personen är förmodligen inte lika införstådd i vilka säkerhetsrutiner som gäller, och lär också fullt upp att sköta sina ordinarie arbetsuppgifter. Det blir en given måltavla för vilken hackare som helst.
Smartare formuleringar behövs
Så hur ska man då tänka kring out of office-meddelanden? De är trots allt användbara, både för den som vill kunna koppla av och för att kunder eller kollegor ska kunna veta vad som gäller.
– Ha som tumregel att inte avslöja för mycket. Det räcker egentligen att skriva att du nås på mobilen utan att uppge något nummer, och att du hänvisar till kontorets huvudnummer i fall du inte svarar. Har du en extra känslig position bör du också informera dina viktigaste kontakter kring i vilken grad du är tillgänglig. Helst bör du berätta att de ska flagga dig innan de hanterar något kritiskt som en transaktion, säger Fredrik Möller.
Fredrik Möller tipsar också om att detaljstyra meddelanden beroende på vem det är som hör av sig – en funktion som är implementerad i de flesta större mailklienter.
– Säkerhetsarbetet behöver inte vara så komplicerat. Genom att du är medveten om vilka risker som finns och vet hur du minimerar dem ser du till att alltid ligga steget före dem som vill åt din information.