Problemas legales relacionados con ataques de phishing simulados [cerrado]

Navega tus respuestas
-1

Estamos creando un servicio para uso tanto interno como para nuestros clientes utilizando GoPhish para probar el conocimiento de los usuarios sobre el phishing. Básicamente, los usuarios recibirán un correo electrónico de phishing y mediremos cuántos usuarios abren el correo electrónico, hacen clic en los enlaces y revelan información.

Tengo dos inquietudes desde una perspectiva legal (estamos en el Reino Unido y solo tenemos clientes en el Reino Unido).

1) Si armo un correo electrónico que parece provenir de Amazon, ¿podrían demandarme por usar su marca sin permiso?

2) Para llevar a cabo la campaña, deberemos almacenar los nombres de los usuarios, las direcciones de correo electrónico y otra información. Una vez que GDPR entre en vigencia, necesitaríamos el consentimiento para almacenar estos detalles (AFAIK), pero si le preguntamos al usuario primero, eso no es válido. ¿Hay alguna forma de evitar esta restricción?

    
pregunta Darren 22.08.2017 - 10:39
fuente

2 respuestas

1

Como autor de SelfPhish, puedo analizar algunas cosas que podrían ayudar sin ofrecer asesoramiento legal.

  1. Usar el logotipo de una empresa sin permiso siempre es un problema. ¿Pero por qué usar el logo y el sitio de otra compañía? ¿Por qué no usar un sitio para el que puede obtener permiso? ¿Te gusta tu propio sitio o el sitio de tus clientes?

  2. ¿Cuál es tu objetivo? ¿No anunciará a los usuarios que los va a phishing? Si planea no hacer esto, de todos modos está en problemas desde un punto de vista educativo. No utilice el phishing como actividad depredadora; Debería ser una actividad de educación y sensibilización, y eso significa decirles lo que vas a hacer. Las sorpresas solo resultarán en problemas y quejas.

En general, no creo que haya pensado en este servicio y en lo que espera lograr. Si quieres mostrarles a los usuarios lo estúpidos que son, entonces estás en el camino correcto, pero el valor de esta actividad es dudoso. Debe tratar esto como una actividad educativa, y la educación requiere participación, no atrapamiento.

    
respondido por el schroeder 22.08.2017 - 11:11
fuente
-1

No soy un experto en derecho. Pero le sugiero que revise las leyes y la ley de seguridad cibernética locales sobre "investigación", que podría renunciar a las responsabilidades, no al abuso de marca, sino a la simulación de phishing.

  1. Haga que el phishing de Spear sea su criterio principal de phishing. Porque es un ataque explícito de ingeniería social objetivo.

  2. Realice el phishing de marca conocida (por ejemplo, DHL, Amazon) como criterio secundario y sea creativo. No necesitas una página de phishing similar al 100%.

respondido por el mootmoot 22.08.2017 - 11:46
fuente

Lea otras preguntas en las etiquetas

Sitio que solicita una licencia de conducir al comprar artículos ¿El código C # que se ejecuta con PowerShell Add-Type activa el antivirus?