Mag ik als securitytester phishingmails versturen met andermans logo?

mohamedhassan / Pixabay

Een lezer vroeg me:

Ik ben security consultant en deel van mijn werk is het organiseren van phishing tests bij organisaties. Daarvoor moet ik natuurlijk logo’s en huisstijlen van bekende dienstverleners (zoals Microsoft of Apple, maar ook Nederlandse bedrijven zoals salarisadministrateurs) gebruiken om de testmails en nepsites echt te laten lijken. Nu maakt een klant zich zorgen dat dit merkinbreuk op zou kunnen leveren. Heeft die een punt?
Gebruik van andermans merk om naar producten of diensten te verwijzen die niet van de merkhouder zijn, is in principe merkinbreuk als je het formeel bekijkt. En dat is hier het hele punt, je wilt nu juist verwarring creëren bij mensen over de afzender/eigenaar van die site zodat ze in je phish-truc trappen. Het merkenrecht kent geen expliciete uitzondering zoals fair use in het (Amerikaanse) auteursrecht.

Daar staat tegenover dat merken bedoeld zijn om producten of diensten mee te onderscheiden. Dat doe je niet met zo’n test. Je bent niet je eigen producten aan het verkopen als zijnde Microsoft Authentic of de laatste AFAS vakantiedagen-app of zo. En als je niets verkoopt, of je eigen bedrijf mooier laat lijken door die merken, dan pleeg je per definitie geen merkinbreuk.

Voor mij geeft de doorslag dat je het merk wel móet gebruiken voor een goede test, je kunt geen tests doen als het er niet een beetje realistisch uitziet. Dat is maatschappelijk aanvaard en ook echt nodig om mensen op te voeden / alert te houden. Dat zie ik als een zwaarwegend en wat de merkenwet een “eerlijk” gebruik noemt, en dan kom je in deze categorie (art. 2.23 lid 1 sub c BVIE):

[Gebruik van] het merk met het oog op de identificatie van of de verwijzing naar waren of diensten als die van de houder van dat merk, in het bijzonder indien het gebruik van dat merk noodzakelijk is om de bestemming van een waar of dienst aan te duiden, met name als accessoire of onderdeel; één en ander voor zover het gebruik door de derde plaatsvindt volgens de eerlijke gebruiken in nijverheid en handel.
Dit artikel is normaal bedoeld voor mensen die bijvoorbeeld accessoires verkopen (“past in alle Miele-stofzuigers”) of anderszins naar de merkhouder willen vermijden (“wij gebruiken Google Analytics”). Dat doe je hier eigenlijk niet, want je verwijst naar een phishingsite. Maar je kunt ook zeggen dat je juist wél naar die merkhouders verwijst, met dus in het achterhoofd dat dat nodig is om mensen phishings te leren herkennen.

Ik zou dus zeggen; dit kan, maar vermijd zo veel mogelijk in openbare materialen deze logo’s, of maak ze dan klein en alleen voor de herkenning “oh ja phishing mails van Microsoft”. Ga zeker niet adverteren met “Wij testen op phishing met onder meer nep-loginsites van Google of AFAS, zie screenshots”.

Voor deze klant is dit waarschijnlijk wat weinig zorg. Je kunt dan alleen nog aanbieden dat je de klant zult vrijwaren van claims mochten deze merkhouders zich werkelijk melden bij de klant met een rekening voor merkinbreuk. Die situatie lijkt mij namelijk nogal onwaarschijnlijk – sowieso is de kans klein dat zo’n claim er komt, en als die er komt dan komt die toch al bij jou want jij bent degene die de phishingsite beheert.

Arnoud

 

10 reacties

  1. Onlangs heeft een klant van een van onze SaaS applicaties een extern bureau ingeschakeld om de eigen medewerkers alert te maken op phishing. Dat externe bureau heeft de portal van onze SaaS dienst perfect nagemaakt en op een URL gehost die vrijwel identiek was, inclusief SSL certificaat en al. Vervolgens hebben ze een mailing de deur uit gedaan naar de medewerkers met een plausibel verhaal en zonder spelfouten e.d. Ze hadden alleen even nagelaten om ons op de hoogte te brengen van deze test. Toen een van de medewerkers phishing vermoede, ging die niet naar zijn eigen organisatie, maar rechtstreeks naar ons als dienstverlener. Toen was er wel even stress, allerlei protocollen traden in werking en instanties werden gewaarschuwd. Pas na enkele uren werd duidelijk dat het om een test ging.

    Dus tja, Arnoud schrijft dat het mag en op zich kan ik me daar wel in vinden, maar breng je fake target even op de hoogte.

    1. Dit is wel een goed punt. Alleen: stel ze hadden je vooraf getipt, “We willen dit gaan doen en kijk eens hoe mooi we jullie dienst hebben gekloond”, wat had je dan gezegd? Ik zou “Wat krijgen we nou, doe eens niet” heel erg begrijpen maar dan kan de test dus niet.

      1. Ja, maar ondertussen hebben ze wel, omdat ze zo nodig moesten testen, op Rik’s werk een hoop stress (en waarschijnlijk onnodig verspilde uren) veroorzaakt. Dus kosten voor Rik’s baas.

        Ik vraag me af of dat wel in het SaaS contract voorzien is?

        Dat is een beetje: de lusten voor jezelf, de lasten voor een ander…. niet heel netjes.

        1. Zijn de kosten van de SaaS leverancier dan niet schade waarvoor de phishing tester aansprakelijk is? Die laatste had namelijk kunnen voorzien dat gebruikers niet alleen in de phishing zullen trappen maar ook de phishing zullen doorzien en aan de bel trekken. En dat met het aan de bel trekken de nodige protocollen zullen starten.

          1. Daar kun je natuurlijk over twisten wie verantwoordelijk is voor de schade. Het kan net zo goed de gebruiker zijn die niet volgens de (contractueel) juiste weg de melding van ‘iets verdachts’ gedaan heeft.

            1. Maar kun je van de gebruiker verwachten dat hij op de hoogte is hoe en waar hij iets moet melden? Hij treft een nepmail en nepsite aan die zich voordoen als bedrijf X. Is het dan raar om dit direct bij bedrijf X te melden? Zij worden immers nagedaan. Dat dit ’te goeder trouw’ in het kader van een pentest is weet de gebruiker niet.

              En wat als er geen contract is? Ik ga pentesten en stuur daarvoor een fake bericht ‘van de Rabobank’ terwijl mijn opdrachtgever daar helemaal niet bankiert. Mag je het dan wel of niet bij de Rabobank melden?

              1. Het ging hier om een leverancier van SaaS en en een (zakelijke) klant . Natuurlijk is er een contract. Het kan ook best dat er in het contract staat dat contacten tussen klant en leverancier via specifieke aangewezen personen moet gaan. Als de medewerker van de klant, de gebruiker dus, zich daar niet aan gehouden heeft kan het best zijn dat betoogbaar de oorzaak van de schade bij de klant ligt.

                Maar het maakt allemaal niet uit: wat ik vooral wilde aankaarten: Iemand wordt serious de dupe van goedbedoelde maar niet doordachte acties van anderen. Dat is niet correct. Of de klant, of de testfirma, of nog iemand anders, verantwoordelijk is maakt niet uit.

      2. Als je iemand informeert is dat ter kennisgeving, geen vraag om toestemming. Waarom zou hun ‘doe eens niet’ ervoor zorgen dat de test niet door kan gaan? Je pleegt tenslotte geen merkinbreuk (jouw redenatie volgend).

  2. Grote merken ondervinden nogal eens last van ‘echte phishing mails’ en zijn er dus in zekere mate bij gebaat dag er acties tegen phishing worden geïnitieerd. Misschien juridisch niet zo’n overtuigend argument maar in een gesprek wel lijkt me.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.