Achtergrond
image

Juridische vraag: mag je echte logo's in test-phishingmails gebruiken?

woensdag 19 augustus 2015, 11:46 door Arnoud Engelfriet, 6 reacties

ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag:Ten behoeve van een interne security awareness-training wil ik een paar phishingmails versturen naar collega's. Mag ik daarbij logo's en layout gebruiken van andere bedrijven, zoals LinkedIn, UPS of Microsoft?

Antwoord: Een onderzoek waarbij je met een nep-phishingmail wilt testen of mensen zich wel genoeg bewust zijn van security, kan een goed idee zijn. En het gebruiken van 'echte' mails van bijvoorbeeld LinkedIn of UPS is dan eigenlijk een vereiste, anders gelooft niemand ze.

Op layout en logo's van die bedrijven rusten auteursrechten en merkrechten. Dat wil zeggen dat je ze niet zomaar mag gebruiken. (In het recht mag er eigenlijk niets 'zomaar'.) Er moet een rechtvaardiging voor zijn - dat zou "het realisme van het security-onderzoek" kunnen zijn.

Maar daar bovenop komt dat eigenlijk niemand mag denken dat die mail écht van die bedrijven afkomstig is. En dat is lastig, want het hele punt van een phishingmail is nu juist dat mensen dat wél denken. De enige manier om hier onderuit te komen die ik kan bedenken, is de stelling dat de mail binnen het bedrijf blijft en er dus niemand in het openbaar gaat klagen dat Microsoft of een ander ze nept. Dat is niet heel sterk, maar volgens mij wel wat in de praktijk vaak gebeurt.

Houd verder met zo'n intern onderzoek rekening met de privacy en andere belangen van de collega's. Zeker als je in rapportages of presentaties resultaten gaat laten zien aan meer dan alleen de directeur. Laat geen screenshots zien van Henk z'n e-mail of de berichten die Janine stuurde toen je vanaf LinkedIn een gezellige chat opende.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (6)
19-08-2015, 12:54 door mcb
Maar daar bovenop komt dat eigenlijk niemand mag denken dat die mail écht van die bedrijven afkomstig is. En dat is lastig, want het hele punt van een phishingmail is nu juist dat mensen dat wél denken. De enige manier om hier onderuit te komen die ik kan bedenken, is de stelling dat de mail binnen het bedrijf blijft en er dus niemand in het openbaar gaat klagen dat Microsoft of een ander ze nept.
Het is sowieso niet verstandig om de naam/logo van andere bedrijven te gebruiken.
Artikel op tweakers een maand geleden:
https://tweakers.net/nieuws/104352/phishingtest-vlaamse-overheid-loopt-uit-de-hand.html

Je kan beter phishingmailtjes maken die afkomstig lijken te zijn van bijv. personeelszaken.
Bij mijn vorige werkgever was er een test waarin "personeelszaken" mail had gestuurd waarin stond dat vakantiedagen die overwaren en mee moesten naar het volgend jaar apart moest worden aangemeld. Incl. link (uiteraard niet verwijzend naar een site van PZ) naar een phishing site.
19-08-2015, 18:33 door Anoniem
Door mcb:
Maar daar bovenop komt dat eigenlijk niemand mag denken dat die mail écht van die bedrijven afkomstig is. En dat is lastig, want het hele punt van een phishingmail is nu juist dat mensen dat wél denken. De enige manier om hier onderuit te komen die ik kan bedenken, is de stelling dat de mail binnen het bedrijf blijft en er dus niemand in het openbaar gaat klagen dat Microsoft of een ander ze nept.
Het is sowieso niet verstandig om de naam/logo van andere bedrijven te gebruiken.
Artikel op tweakers een maand geleden:
https://tweakers.net/nieuws/104352/phishingtest-vlaamse-overheid-loopt-uit-de-hand.html

Je kan beter phishingmailtjes maken die afkomstig lijken te zijn van bijv. personeelszaken.
Bij mijn vorige werkgever was er een test waarin "personeelszaken" mail had gestuurd waarin stond dat vakantiedagen die overwaren en mee moesten naar het volgend jaar apart moest worden aangemeld. Incl. link (uiteraard niet verwijzend naar een site van PZ) naar een phishing site.

Maar de mail kwam dan weer wel uit de interne organisatie, met de bijbehorende headers? Waarom zou je die niet vertrouwen, zelfs met een link naar een externe site. Best moeilijk hoor, testen.
19-08-2015, 22:21 door mcb - Bijgewerkt: 19-08-2015, 22:24
Door Anoniem: Maar de mail kwam dan weer wel uit de interne organisatie, met de bijbehorende headers? Waarom zou je die niet vertrouwen, zelfs met een link naar een externe site. Best moeilijk hoor, testen.
De grap was dat die mail helemaal niet intern was.
From adres was HR@ maar van een extern domein. Een of andere naam als personeelszaken.com of zo (was een tijdje geleden).
Intern kan sowieso niet omdat mijn vorige werkgever gebruik maakt(e) van een extern partij gespecialiseerd in security awareness trainingen.
20-08-2015, 06:30 door Eric-Jan H te D
Met levend aas vissen mag al jaren niet in Nederland
24-08-2015, 13:31 door Anoniem
Aangezien we over Amerikaanse multinationals spraken: er bestaat in het http://www.copyright.gov/ (het recht om te copieren) een vrijstelling voor educatieve doeleinden. Aangezien test-phishing is bedoeld om van te leren, waarmee zulks gebruik in mijn optiek gerechtvaardigt is (en verwacht ik allerminst dat een rechter onder de indruk gaat zijn van een claim).
24-08-2015, 23:18 door Patio
Door Anoniem: Aangezien we over Amerikaanse multinationals spraken: er bestaat in het http://www.copyright.gov/ (het recht om te copieren) een vrijstelling voor educatieve doeleinden. Aangezien test-phishing is bedoeld om van te leren, waarmee zulks gebruik in mijn optiek gerechtvaardigt is (en verwacht ik allerminst dat een rechter onder de indruk gaat zijn van een claim).

Lezen, beste Anoniem: er staat " interne security awareness-training ". Daar komt geen rechter aan te pas. Overigens heeft in elk geval LinkedIn regel voor het gebruik van zijn logo. Hou je voor alle zekerheid en uit fatsoen aan die regels.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure