Chi di voi non ha mai usato il così detto "Out Of Office", alzi la mano!

Che cos'è l'Out Of Office?

E' un servizio, disponibile praticamente su tutti i sistemi di posta elettronica, molto comodo, che permette all'utente di impostare un messaggio predefinito, che sarà inviato automaticamente quando qualcuno ci scrive.

Di norma quindi l'Out Of Office viene utilizzato quando non siamo presenti in ufficio o comunque quando non abbiamo accesso all'email (o l'accesso è limitato), che sia per motivi personali (vacanza, malattia, etc) o di lavoro (ad esempio una trasferta in un paese con limitate possibilità di connessione ad internet).

In questi casi attiviamo l'Out Of Office così chi ci cerca riceverà comunque una risposta.

È il momento delle vacanze!

Il caso più frequente e "classico" è proprio quello del periodo di vacanza: spesso siamo spinti ad attivare un messaggio di Out Of Office per salvaguardare in qualche modo la nostra attività lavorativa, cercando così di non far perdere in produttività l'azienda per la quale lavoriamo.

E' un atteggiamento psicologico naturale, ma che può portare a spiacevoli conclusioni, addirittura mettendo in pericolo proprio la "nostra" azienda.

Per essere più produttivi, non perdere opportunità, non lasciare clienti, fornitori, colleghi, senza una risposta - che potrebbe quindi causare un "disservizio" - il nostro cervello cerca una soluzione. Dobbiamo in qualche modo fare sì che la nostra assenza non sia causa di un problema e che i processi non si fermino proprio per questo motivo.

In questo caso entra in funzione in maniera preponderante l'emisfero emotivo del nostro cervello, che quindi ci porta a svolgere scelte rapide e automatiche, senza analizzare la situazione.

Questo è uno dei punti chiave delle vulnerabilità umane, sfruttate oggi più che mai dai criminali informatici.

La "nostra" email out of office

Succede di conseguenza che prepariamo una email spesso dettagliata, dove forniamo più indicazioni possibili per rivolgersi a chi può svolgere il nostro compito.

Sarò assente fino al 24 Agosto.
Per urgenze contattare il sig. Filippo (filippo.xxx@azienda.it). Nel caso in cui abbiate bisogno di informazioni sui pagamenti, sig.ra Giovanna via email (giovanna.xxx@azienda.it) o telefono 02-000111222
A presto.
Pinco Pallino, Sales Manager, tel. 333.000999111

Quali errori non dobbiamo commettere?

Il problema principale delle "classiche" email out of office, risiede nel fatto che forniscono molte (troppe) informazioni a chi la riceve.

Un attaccante (anche un sistema automatizzato... non pensiate ingenuamente che queste attività siano svolte sempre e solo da una persona in carne ed ossa) può quindi raccogliere indicazioni, nominativi, numeri di telefono e quant'altro, per poi utilizzarli per un successivo attacco di spear phishing (ovvero un phishing mirato ad una persona o organizzazione).

Quali dati può raccogliere un criminale informatico dalla nostra email out of office?

Dall'analisi del contenuto, informazioni preziose per attività di social engineering:

  • conferma che l'indirizzo email è "attivo" e quindi valido
  • data di rientro al lavoro
  • eventuale numero di telefono ed indirizzo (contenuti nella firma della email)
  • indirizzi email (ed eventualmente numeri di telefono) di colleghi
  • ruolo/funzione aziendale del ricevente e dei colleghi

Dall'header della email di out of office, si può ricavare:

  • Indirizzo IP del server del mittente
  • Tipologia di server/servizio utilizzato
  • Info sulla proprietà dell'indirizzo IP

L'header di una email non è altro che una porzione di codice che non è visibile "a occhio nudo": basta però semplicemente utilizzare qualche servizio online per analizzare tali informazioni e ricostruire il percorso che ha fatto l'email.

Con tutte le informazioni qui sopra descritte, è possibile creare attacchi mirati ah-hoc.

Cosa fare per difendersi?

Alcuni semplici accorgimenti, figli dell'emisfero logico del nostro cervello:

  • Attivare il servizio out of office solo verso indirizzi email conosciuti
  • Verificare se c'è effettivamente bisogno di attivare il servizio out of office
  • Predisporre una email che non fornisca indicazioni troppo dettagliate
  • Se c'è un collega che mi sostituisce, banalmente una soluzione può essere reindirizzare a lui le mie email per il periodo di assenza
  • Attivare un servizio di antispam efficace


Come abbiamo visto, una semplice email di out of office può potenzialmente fornire informazioni che mettono a repentaglio la sicurezza nostra e aziendale.

La raccolta di queste informazioni è un tema molto interessante: nasce così Tracce Digitali, uno spazio dove racconto come raccogliere e analizzare informazioni pubbliche.

Clicca qui per accedere a Tracce Digitali su GitHub!

Ti aspetto!