Sì, è eticamente accettabile "intrappolarli", finché non lo fai per la tua stessa vittoria. Se li mandi a una pagina informativa, va bene.
Se li invii al vero accesso all'azienda, ma includi come ?phish=true
nell'URL e poi hai la logica sul lato server per disabilitare l'account e quindi programmare l'utente per ulteriori informazioni sul phishing, allora va bene anche.
Ciò che non è etico è se li invii alla tua pagina di accesso, anche se non archivi o non fai nulla con i dettagli.
In realtà esiste un'attività che si chiama "PhishMe". L'azienda funziona in questo modo:
- In primo luogo, imposteranno un indirizzo di segnalazione per te, come
[email protected]
.
- Quindi, dovrai istruire i tuoi utenti a segnalare qualsiasi phishing sospetto a quell'indirizzo.
-
Quindi PhishMe invierà una mail di phishing falsa ai tuoi dipendenti. Se i dipendenti fanno clic sul collegamento, verrà registrato che non hanno reagito correttamente sul phishing. Hanno anche moduli e tali da vedere se l'utente immette dati sensibili (ma ovviamente li scarta immediatamente).
Se non fanno nulla, sarà accettato come una buona soluzione.
Se lo segnalano a [email protected]
, PhishMe filtra via il report (in quanto è in grado di identificare che il phish mail era in realtà un phishing falso) e quindi registra che l'utente ha fatto una buona cosa riportandolo. Continuano a inoltrare tutte le segnalazioni per posta autentica di phishing inviata dai truffatori al tuo vero indirizzo di segnalazione di frodi.
Un'altra cosa di cui devi essere a conoscenza, specialmente se usi un server di posta esterno, è che il tuo falso fraseggio potrebbe finire per far entrare i server della società nella lista nera per phishing / spamming. Assicurarsi che i server siano impostati in modo da ignorare tali falsi phish e assicurarsi di non utilizzare alcun fornitore esterno per l'esecuzione dei server di posta. Assicurati inoltre che gli utenti non inoltrino l'e-mail al loro account Gmail o simili, semplicemente disabilitando la possibilità di inoltrare la posta sul lato server e consentire solo IMAP / POP3 dalla rete interna / VPN, per evitare di ricevere e-mail come Gmail. Ciò impedisce agli utenti di "segnalare come spam" presso tali fornitori.
Per quanto riguarda la legalità, non sarebbe illegale dato che la sua vera e propria e-mail non è falsa, perché "falso indirizzo email" non è scritto dalla società, e la posta scritta da una società non è falsa. È la stessa cosa che non si può "fingere la propria firma", perché quindi non si sta fingendo. E potrebbe essere dimostrato che non hai intenzioni malevole mentre li stai reindirizzando a una pagina informativa sul phishing.
Un'altra cosa importante da prendere in considerazione è di ottenere il permesso scritto e chiaro dai dirigenti della compagnia e, in tal modo, di avere la piena autorizzazione della società a farlo, nel caso in cui l'azienda decida di farlo per "sbarazzarsi di te" dicendoti fare cose che poi possono segnalare come crimini alle autorità locali. È la stessa efficacia di qualcuno che ti dà un articolo gratuitamente, come "qui, ce l'hai, è gratis", e poi vai alla polizia e denunciati per furto, e non puoi dimostrare di averlo ricevuto gratuitamente. Ecco perché i documenti sono importanti.
Tuttavia, quando si implementano tali programmi, è importante consentire all'utente di utilizzare i propri segnali per reagire al phishing. Ecco perché dovresti preferibilmente dire al tuo server di posta di inserire un falso header di convalida SPF che dice che la convalida di SPF non è riuscita, per quei falsi messaggi di phishing (e sopprimere la vera validazione "passata" di SPF). Altrimenti le mail di phishing appariranno come genuine.
E dovresti anche assicurarti che altri segni di posta lo rendano un phishing, quindi se l'utente utilizza strumenti per dedurre se il suo phishing è importante, questi strumenti possono reagire correttamente e avvisare come se fosse un vero phishing.