Jeg er ikke hjemme - buhu

Som du måske har set, har Mads Ølholm skrevet artiklen Tyveknægte elsker autosvar, hvor viruseksperten Lein Sørbø fra Virus112 advarer mod at bruge automatiske fraværssvar fra ens mailkonto.

Da jeg klikkede for at læse artiklen, tænkte jeg, at det handlede om et eksempel på social enginering. Fx at fraværssvar oplyser om et navn, som man kan udgive sig som i håbet om at få nulstillet et password, som man så efterfølgende kan misbruge. Det er et tænkeligt scenarium, som virksomheder sikrer sig imod ved at have fornuftige procedurer for nulstillelse af passwords og lignende.

Men næh. Sørbø forestiller sig, at der sidder nogen, som spammer virksomheder for at få returmails med automatiske fraværssvar, som nogle tilfælde indholder et mobilnummer, der giver adgang til en adresse. Adressen sælges så til indbrudstyve.

Hvorfor de egentlig ikke bare slår navnet op, forstår jeg ikke. Hvis det gøres i store mængder, kan man jo ignorere navne, der ikke er entydige, men vi har åbenbart med grundige kriminelle at gøre, som har masser af tid.

Helt ærligt. Det er nok det mest tænkte og urealistiske scenarium, jeg har set længe. Jeg tvivler stærkt på, at nogen bliver rige at at sælge den slags oplysninger.

Så lad mig hermed oplyse alle indbrudstyve derude. Jeg er på arbejde langt de fleste hverdage.

Scenariet bliver dog straks mere realistisk, hvis det målrettes mod en specifik person.

Jeg har i øvrigt tit talt med sikkerhedsansvarlige om det fornuftige i automatiske fraværsmails. Fordelen er, at kunder ikke bliver utilfredse over manglende svar. Det er mange penge værd. Ulempen er faren for angreb som ovennævnte social engineering-eksempel.

Jeg holder dog på, at fordelene klart opvejer ulemperne. Men jeg hører gerne argumenter for det modsatte.

Kommentarer (18)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#4 Anonym

Bingo - selvfølgelig tænker jeg på formålsspecifikke nøgler.

Men hvorfor mener du ikke at det har noget med situationen nu at gøre? At man fornægter de faktiske problemer og kun diskuterer symptomer, mens man faktisk forværrer problemet for hvert tiltag?

Når man ikke diskuterer løsninger, men kun trade-offs, så svarer det til at diskutere om man skal forurene eller være bange for teknologi. Ingen af svarene er acceptable, så man må søge efter løsninger.

Det svarer lidt til Peder Bjerges forsøg på at påstå at man roligt kan ignorere Googles agressive registreringer. I stedet for at diskutere løsninger på fejlregisteringen, så forsøger han at snakke symptomet væk fordi han personligt nedprioriterer sikkerhed.

Min pointe er ikke at kritisere nogen - men det er et ultrafarligt paradigmeproblem, som på mange måder ligner den selvdestruktive debat om teknologi og forurening i 60erne. Man søgte ikke løsninger, men fokuserede i stedet på at dæmonisere modparten og vinde mediebilledet.

  • 0
  • 0
#6 Kristian Thy

Er der nogen af de to herrer der vil delagtiggøre den undrende læserskare (=mig) i hvad identitetsbeskyttelse og formålsspecifikke identiter har med Lein Sørbos påstående trussel at gøre? Skal man på en eller anden måde kunne adskille Kristian Thy som kundekontakt fra Kristian Thy som privatperson med bopæl? I så fald kan jeg ikke se hvordan det kan lade sig gøre uden at mine kunder kun kender mig som et nummer.

  • 0
  • 0
#7 Jesper Laisen

Jeg synes ikke, at det har så meget med Sørbos påståede trussel at gøre - i hvert fald ikke på kort sigt. Jeg har skrevet om et konkret problem i en konkret situation. Stephan vil gerne, at problemet løses generelt. Det har han en masse ideer om, hvordan man gør. Men måske kunne vi få ham til at give en kort beskrivelse af en sådan model.

  • 0
  • 0
#8 Anders Reinhardt Hansen

Hvad er nytteværdien i at svare ALLE der skriver en mail til dig at du er på ferie. Jeg begrænser altid min mail til mit firma + de domæner vores kunder skriver fra. Det er jo også rimeligt irreterende at få svarmails på mailinglister fra folk der er på ferie. Det oplever jeg faktisk tit.

  • 0
  • 0
#9 Jesper Laisen

Så vidt jeg kan se, findes den mulighed først med MS Office 2007. På UNIX kan man selvfølgelig alt. Problemet er jo at afgrænse domænerne. Hvad med fx nye kunder eller gamle kunder? Det bliver desuden stadigt vanskeligere at ramme netop de rigtige domæner, jo større din kundeliste er. I de første udgaver af Office var Out of Office Assistant mig bekendt begrænset til interne e-mails. Men du har helt ret i, at autoreplies og mailinglister bare ikke passer sammen.

  • 0
  • 0
#10 Jan Keller Catalan

Er det utænkeligt, at man kan tillade andre at se ens (firma-)mail når man er på ferie? Hvis det netop er frygten for at miste kunder pga. manglende svar vil det vel være naturligt at sende mailen videre til en kollega - istedet for at pålægge kunden at vurdere, hvorvidt kollegaen vil være i stand til at hjælpe.

Jeg tænker en auto-forward til en "På-ferie-mailbox" hvor (nærmeste) kollega/-er kan læse dem og vende tilbage til kunden - evt. med en hurtig standard-svar om, at xx er på ferie.

Det vil give en arbejdsbyrde, ja, men bedre service til kunden.

  • 0
  • 0
#13 Jesper Laisen

Er det utænkeligt, at man kan tillade andre at se ens (firma-)mail når man er på ferie?

Nej, men det betyder jo så, at fx dine fortrolige firmae-mails og dine private e-mails også ryger videre. Det er vel heller ikke rigtig en god løsning.

  • 0
  • 0
#14 Jesper Laisen

bange for, at min auto-svar overfor en spammer bekræfter, at min email adresse eksisterer

Hvad skulle fordelen for en spammer være ved, at din adresse ikke bouncer? Han er vel ligeglad, om han sender millioner af e-mails med 100.000 rigtige modtagere, eller om han kun sender til de 100.000 rigtige modtagere. Hvis jeg var spammer, ville jeg snarere interessere mig for at opsamle adresser på de modtagere, der reagerer på SPAM-e-mails.

  • 0
  • 0
#15 Jan Keller Catalan

"Nej, men det betyder jo så, at fx dine fortrolige firmae-mails og dine private e-mails også ryger videre. Det er vel heller ikke rigtig en god løsning."

Private emails har intet at gøre i en firma-mailbox, så det argument køber jeg ikke.

Fortrolige firma-mails skal naturligvis til en fortrolig kollega og ikke bare hvemsomhelst, det er da rigtigt, så brugbarheden er muligvis begrænset - men stadig bedre service til kunden når det er, vil jeg mene.

Mht. bekræftede email adresser, så er værdien af en liste på 100.000 bekræftede email adresser svjv. højere end en liste med 1 million ubekræftede adresser og derfor relevant for spammere og spam-liste-sælgere.

  • 0
  • 0
#17 Jørgen Elgaard Larsen

Der kan godt foregå en vis opsamling af emailadresser, selvom der anvendes spoofet afsender. Det klassiske eksempel er en HTML-befængt mail, der indeholder et billede, som hentes fra et CGI-script på en webserver (med parametre, der identificerer dig).

Men ellers er spam med spoofet afsender endnu en god grund til at tænke sig om med autosvar. Jeg er i hvert fald træt af at få at vide, at Zbignev Wassulu er Langtbortistan er på ferie og derfor ikke kan svare på den spam, nogen har sendt i mit navn.

Hvem finder dog på at lave autosvar før deres spamfilter?

  • 0
  • 0
#18 Anonym

Hele denne diskusion kan reduceres til at man ønsker differentierede politikker.

Det er fint og service at svare kunder, at man har ferie. Nye kunder skal håndteres af andre. Alle andre skal dumpes.

  • 0
  • 0
Log ind eller Opret konto for at kommentere