Geçen hafta “Ofis Dışındayım” mesajlarının kurumlar için risk oluşturduğundan bahsetmiştik. Bu tür mesajların saldırganların başarıyla kullanabileceği birer sızıntıyı başlatması çok kolay.
Diğer yandan, otomatik email yanıt sistemleri sadece “ofis dışındayım” mesajlarıyla sınırlı değil. Diğer iki otomatik yanıt türü olan “mesajınız ulaştırılamadı” mesajları ve “mesajınız okundu” onay mesajları da tehdit oluşturmakta. Gelin bu ikisini detaylıca inceleyelim:
“Mesajınız ulaştırılamadı” mesajlarının özellikle izinsiz yollanan (Spam) mesajlar konusunda bir sorun olduğu uzun süredir bilinmekte. Gelgelelim bu mesajların bilgi sızdırma olasılığı da çok büyük. Kötü ayarlanmış bir email sunucusu bu hata mesajında alan adı, IP adresi, çalıştırdığı yazılım sürümü gibi bazı bilgileri açık edebilir. Becerikli bir saldırgan tüm bu bilgileri teknik (örneğin sunucuya saldırmak) ya da teknik olmayan (kurumun yönetim şemasını çıkarmak) gibi işler için kullanabilir.
Aslında, “ulaştırılamadı” yanıtının en büyük işlevi, böyle bir email posta kutusunun var olduğunun kanıtını sağlamak olacaktır. Sağdan soldan toplanan email adresleri genelde işe yarar ama böyle bir otomatik yanıt alınması, hedeflenen email adresinin varlığını kesin ve kolay şekilde belirler.
“Mesajınız okundu” yanıtları daha da çok sorun yaratabilir. Saldırgan için bu mesajın anlamı, saldırının başarıya ulaşıp ulaşmadığı, yani bir insanın gönderilen mesajı okuyup okumadığıdır. Tabii bu aynı zamanda saldırgana böyle bir email adresinin var olduğunu da kanıtlar. Bunlar, bir saldırganın bekleyebileceği en değerli bilgilerdendir. Üstelik bu bilgilere dayanarak kurbanın daha çok hangi türdeki email mesajlarını okuduğu da belirlenebilir. Web sunucularındaki hatalar da işin içine girince, saldırgan kurbanının kullandığı yazılımları da belirleyebilir.
“Mesajınız okundu” yanıtlamasını kullanmak bütünüyle kullanıcının tercihine bağlıdır. Ancak, email istemcileri bu yanıtları kullanıcıdan onay almadan da gönderecek şekilde ayarlamak mümkün. Bu mesajlar zaten doğaları gereği saldırgana değerli veriler sağlarlar, bunları otomatik olarak göndermekse riski kat kat arttırır. “Okundu” mesajlarının otomatik gönderilmemesi riski çok daha kabul edilebilir noktaya getirir, yeter ki kullanıcı tanımadığı kullanıcılardan gelen mesajlar için “okunmuştur” onayı göndermesin.
Gelin tüm manzaraya tüm kullanıcıların otomatik yanıt sistemlerini değerli bilgileri ortaya saçacak şekilde ayarladıkları en kötü senaryoyu düşünerek bakalım. Internet aramalarıyla birlikte kullanılan bu otomatik yanıtlar email adreslerinin aktif olarak çalışıp çalışmadıklarını belirleyecektir. “Ofis dışındayım” mesajlarıysa saldırganlara kurum içi yapılanma ve irtibat noktaları üzerine önemli bilgiler sağlayacaktır. “Okundu” yanıtları hangi saldırıların işe yarayıp yaramadığını göstererek planlanan saldırının daha iyi şekilde biçimlendirilmesini sağlar. Tüm bunlar bir araya getirildiğinde otomatik yanıt sistemlerinin sağladığı veriler kullanılarak yüksek öncelikli hedeflere çok iyi planlanmış saldırılar başlatılabilir.