模拟钓鱼攻击的法律问题

Question

我们正在为内部和我们的客户端提供一个服务，使用GoPhish来测试用户的钓鱼意识。基本上，用户将收到一封钓鱼邮件，我们将衡量有多少用户打开电子邮件，点击链接，并披露信息。

我有两个关注从法律的角度(我们总部设在英国，只有英国的客户)。

( 1)如果我把一封看起来像亚马逊的电子邮件放在一起，他们会因为我未经许可而使用他们的品牌而起诉我吗？

2)为了开展这项运动，我们需要存储用户的姓名、电子邮件地址和其他信息。一旦GDPR生效，我们将需要同意来存储这些细节(AFAIK)，但是如果我们首先询问用户，这就违背了目标。有办法绕过这个限制吗？

Answer 1

作为SelfPhish的作者，我可以在不提供法律建议的情况下对一些可能有帮助的事情进行权衡。

1. 在未经许可的情况下使用公司标识总是一个问题。但是为什么要使用另一家公司的标识和网站呢？为什么不使用一个你可以获得许可的网站呢？比如你自己的网站还是你客户的网站？
2. 你的目标是什么？你不会向用户宣布你将对他们进行网络钓鱼吗？如果你不打算这么做，从教育的角度来看，你就有麻烦了。不要把钓鱼当作一种掠夺性的活动，它应该是一种教育和意识活动，这意味着告诉他们你要做什么。惊喜只会导致问题和抱怨。

总的来说，我不认为你已经考虑过这项服务以及你希望实现的目标。如果你想向用户展示他们是多么的愚蠢，那么你是在正确的轨道上，但是这个活动的价值是值得怀疑的。你需要把它当作一种教育活动，而教育需要参与，而不是诱捕。

Answer 2

我不是法律专家。但我建议你检查一下当地的网络安全规则和关于“研究”的法律，这可能会免除责任，而不是滥用品牌，而是仿冒。

1. 让矛钓鱼你的主要钓鱼标准。因为它是一个明确的社会工程攻击目标。
2. 将知名品牌钓鱼(如DHL、Amazon)作为次要标准，并保持创造性。你不需要一个100%看起来像钓鱼网页。