Sí, es éticamente aceptable "atraparlos", siempre y cuando no lo hagas por tu propia victoria. Si los envía a una página informativa, está bien.
Si los envía al inicio de sesión de la empresa real, pero incluye como ?phish=true
en la URL y luego tiene lógica en el lado del servidor para deshabilitar la cuenta y luego programar al usuario para obtener más información sobre el phishing, entonces también está bien.
Lo que no es ético es si los envías a tu propia página de inicio de sesión, incluso si no guardas ni haces nada con los detalles.
En realidad, hay un negocio que se involucra en esto, llamado "PhishMe". La empresa trabaja de esta manera:
- Primero, configurarán una dirección de informe para usted, como
[email protected]
.
- Luego, deberá educar a sus usuarios para que informen cualquier sospecha de suplantación de identidad a esa dirección.
-
Luego, PhishMe enviará un correo falso de phishing a sus empleados. Si los empleados hacen clic en el enlace, se registrará que no reaccionaron correctamente en el phishing. También tienen formularios y otros para ver si el usuario ingresa datos confidenciales (pero, por supuesto, los descartan de inmediato).
Si no hacen nada, se aceptará como una buena solución.
Si lo reportan a [email protected]
, PhishMe filtrará el informe (ya que pueden identificar que el correo de phish en realidad fue un phish educativo falso) y luego registrará que el usuario hizo algo bueno al reportarlo. Todavía reenvían todos los informes para correo de phishing genuino enviado por estafadores a su dirección de informe de fraude real.
Otra cosa que debe tener en cuenta, especialmente si utiliza un servidor de correo externo, es que su falso phish podría terminar en la lista negra de servidores de la empresa para el phishing / spam. Asegúrese de que los servidores estén configurados para ignorar ese tipo de fraude falso, y asegúrese de no usar contratistas externos para ejecutar los servidores de correo. También asegúrese de que los usuarios no reenvíen el correo electrónico a su cuenta de Gmail o similar, simplemente deshabilitando la posibilidad de reenviar el correo en el lado del servidor, y solo permitan IMAP / POP3 desde la red interna / VPN, para evitar la obtención de correos electrónicos como Gmail. Esto evita que los usuarios "informen como spam" a dichos proveedores.
Sobre la legalidad, no sería ilegal, ya que en realidad no es un correo electrónico falso, porque "correo electrónico falso" es un correo electrónico no escrito por la compañía, y el correo escrito por una compañía realmente no es falso. Es lo mismo que no puedes "falsificar tu propia firma", porque entonces no lo estás fingiendo. Y podría demostrarse que no tiene intenciones maliciosas, ya que los está redirigiendo a una página informativa sobre phishing.
Otra cosa importante a tener en cuenta es obtener un permiso claro y por escrito de los gerentes de la compañía y que tenga el permiso completo de la compañía para hacerlo, en caso de que la compañía decida hacerlo para "deshacerse de usted" al informarle. para hacer cosas que luego pueden reportar como delitos a las autoridades locales. En realidad, es lo mismo que alguien que te da un artículo gratis, como "aquí, lo tengo, es gratis", y luego ir a la policía y denunciarte por robo, y no puedes probar que lo obtuviste de forma gratuita. Es por eso que los papeles son importantes.
Sin embargo, al implementar dichos programas, es importante permitir que el usuario use sus propias señales para reaccionar ante el phishing. Por eso es preferible que le diga a su servidor de correo que inserte un encabezado de validación de SPF falso que diga que la validación de SPF falló, para esos mensajes de phishing falsos (y que suprima la validación "aprobada" de SPF real). De lo contrario, los correos de phishing se mostrarán como auténticos.
Y también debe asegurarse de que otros signos del correo lo convierten en un "phishing", por lo que si el usuario usa herramientas para deducir su phishing, es importante que estas herramientas puedan reaccionar correctamente y alertar, como si fuera un phishing real.