Of je welverdiende zomervakantie nu net is aangebroken en je koffers al klaar staan, of je in de herfst even uitlogt voor een paar dagen rust: een out-of-office instellen is meestal een van de laatste dingen die je doet voor je vertrekt. Iets dat last-minute nog snel-snel moet gebeuren...
Sta je er dan ook bij stil dat zo’n automatisch antwoord een mogelijke ingang biedt aan hackers? Een simpel bericht kan namelijk een schat aan informatie bevatten. Wie is afwezig? Hoe lang? Wie neemt over? Perfect voor wie zich via phishing of social engineering toegang wil verschaffen tot jouw organisatie.
Out-of-Office = Out-of-Security?
Cyberaanvallen worden vandaag de dag steeds persoonlijker en gerichter. Ze speuren naar kleine details die hen kunnen helpen om geloofwaardige phishingmails of social engineering-aanvallen op te zetten. En een out-of-office bericht is vaak een perfecte ingang en bron van informatie.
Het probleem zit hem meestal niet in het feit dat je een automatisch antwoord instelt, maar hoe je het formuleert.
Hieronder een voorbeeld van hoe het niet moet;
“Ik ben afwezig tot 15 augustus, zonder toegang tot e-mail. Voor dringende zaken, contacteer mijn collega sofie.janssens@bedrijf.be. Ik ben met vakantie in Italië 🌞 – je hoort na 20 augustus van me!”
Voor een potentiële hacker is dit voldoende om:
- Te weten wie tijdelijk onbereikbaar is
- De vervanger gericht aan te vallen met valse verzoeken (“Sofie, ik had nog een dringende betaling openstaan.”)
- Gerichte spear phishing-mails te sturen zodra je terug bent (“Welkom terug! Hier je facturen van vorige maand.”)
Wat kan je beter doen?
5 slimme tips voor een veilige out-of-office
Nu vraag je je waarschijnlijk af, hoe doe ik het dan wel goed/op de juiste manier?
Hieronder vind je 5 handige tips, die ervoor zorgen dat je minder informatie prijsgeeft bij het instellen van jouw volgende out-of-office;
1. Houd het zakelijk en vaag
Zeg dat je afwezig bent, maar vermeld géén exacte data of locatie. Bijvoorbeeld:
"Bedankt voor je bericht. Ik ben momenteel afwezig en beantwoord je mail zo snel mogelijk na mijn terugkeer."
2. Gebruik een algemeen mailadres als alternatief
Je wil klanten of externe contacten niet in het ongewisse laten, maar je wil ook geen onnodige persoonlijke info of contactgegevens verspreiden. Door een generiek e-mailadres te vermelden, zoals support@bedrijf.com of info@bedrijf.com, geef je mensen een duidelijk alternatief, zonder dat je een specifieke collega “blootstelt” aan gerichte aanvallen of impersonatie pogingen.
"Bedankt voor je bericht. Ik ben momenteel afwezig en beantwoord je mail zo snel mogelijk na mijn terugkeer.
Voor dringende vragen kan je terecht bij ons team via support@axsguard.com."
3. Vermijd persoonlijke info
Geen vakantiebestemmingen, gsm-nummers of andere persoonlijke informatie. Foto’s van je vakantiebestemming kunnen leuk zijn voor social media, maar is niet bestemd voor een automatische mail/out-of-office.
4. Bouw een ‘Human Firewall’ voor je organisatie
Door je team op te leiden in het herkennen van- en omgaan met verdachte situaties, bouw je aan een ‘Human Firewall’ die je organisatie beschermt. Dit kan door het aanbieden van security awareness training voor je werknemers.
5. Informeer je collega’s intern over je afwezigheid
Een zeer simpele, maar geen onbelangrijke laatste tip. Eentje die zich aansluit bij de vorige tip, door het makkelijker te maken voor collega’s om louche praktijken te herkennen. Voor kleinere organisaties lijkt dit misschien vanzelfsprekend, maar voor grote bedrijven is die niet altijd het geval. Zorg er dus voor dat je team wéét dat je weg bent, zodat zij verdachte mails zogezegd “van jou” kunnen detecteren.
Wat als je out-of-office jouw grootste cybersecurity risico wordt?