Problemi legali relativi agli attacchi di phishing simulati [chiuso]

Naviga le tue risposte
-1

Stiamo mettendo insieme un servizio da utilizzare sia internamente che per i nostri clienti che utilizzano GoPhish per testare la consapevolezza degli utenti del phishing. Fondamentalmente, gli utenti riceveranno un'email di phishing e misureremo quanti utenti apriranno la posta elettronica, fare clic sui collegamenti e divulgare le informazioni.

Ho due preoccupazioni dal punto di vista legale (siamo basati nel Regno Unito e abbiamo solo clienti con sede nel Regno Unito).

1) Se metto insieme un'email che sembra provenire da Amazon, potrebbero farmi causa per aver usato il loro marchio senza permesso?

2) Per condurre la campagna dovremo memorizzare i nomi degli utenti, gli indirizzi email e altre informazioni. Una volta che GDPR entrerà in vigore, avremmo bisogno del consenso per memorizzare questi dettagli (AFAIK), ma se chiediamo prima all'utente che sconfigge l'obiettivo. C'è un modo per aggirare questa restrizione?

    
posta Darren 22.08.2017 - 10:39
fonte

2 risposte

1

Come autore di SelfPhish, posso valutare alcune cose che potrebbero aiutarti senza offrire consulenza legale.

  1. Utilizzare il logo di un'azienda senza permesso è sempre un problema. Ma perché usare il logo e il sito di un'altra azienda? Perché non utilizzare un sito per il quale può ottenere l'autorizzazione? Ti piace il tuo sito o il sito dei tuoi clienti?

  2. Qual è il tuo obiettivo? Non annuncerai agli utenti che li invierai? Se hai intenzione di non farlo, sei comunque nei guai dal punto di vista dell'istruzione. Non utilizzare il phishing come attività predatoria; dovrebbe essere un'attività di educazione e consapevolezza, e questo significa dire loro cosa farai. Le sorprese causeranno solo problemi e reclami.

In generale, non penso che tu abbia pensato a questo servizio e cosa speri di ottenere. Se vuoi mostrare agli utenti quanto sono stupidi, allora sei sulla strada giusta, ma il valore di questa attività è dubbio. Devi trattarlo come un'attività educativa, e l'educazione richiede partecipazione, non intrappolamento.

    
risposta data 22.08.2017 - 11:11
fonte
-1

Non sono un esperto di legge. Ma ti suggerisco di controllare le tue norme di sicurezza informatica e le leggi locali sulla "ricerca", che potrebbe rinunciare alle responsabilità, non sull'abuso della marca, ma sulla simulazione di phishing.

  1. Fai spear phishing i tuoi criteri di phishing primari. Perché è un attacco di social engineering mirato esplicito.

  2. Fai diventare noto il phishing del brand (ad esempio DHL, Amazon) come criterio secondario ed essere creativo. Non hai bisogno di una pagina di phishing simile al 100%.

risposta data 22.08.2017 - 11:46
fonte

Leggi altre domande sui tag

Qual è la comunicazione più sicura tra firewall e DMZ tcpdump e HTTPS [duplicato]