Виявлення шахрайських DSAR

Що таке Виявлення шахрайських DSAR?

Шахрайські DSAR — це запити суб'єктів даних на доступ, подані зловмисниками, які видають себе за законних осіб, з метою витягнення персональних даних з організацій. Це зростаюча тактика соціальної інженерії, що використовує права конфіденційності проти тих самих людей, яких вони покликані захищати. Стаття 12(6) GDPR надає організаціям право відмовляти в запитах, що є 'явно необґрунтованими або надмірними', але Вам потрібно знати, як відрізнити законний запит від атаки. Ця вправа представляє Вам кілька вхідних DSAR, деякі справжні, деякі шахрайські. Ви оцінюєте кожен запит на наявність тривожних ознак: невідповідності у заявленій особі заявника, мова терміновості, призначена створити тиск для швидкого виконання, запити, спрямовані на конкретних високоцінних осіб, та контактні дані, що не збігаються з наявними записами. Сценарій тестує Вашу здатність застосовувати пропорційну верифікацію особи, не створюючи бар'єрів, що відлякують законних заявників. Реальні випадки показали, що зловмисники використовують вкрадені часткові облікові дані, такі як дата народження та фрагменти адреси, для проходження базових перевірок особи. Ви практикуватимете процес ескалації, коли запит виглядає підозрілим, включаючи спосіб затримки відповіді без порушення 30-денного дедлайну шляхом запиту додаткової верифікації. Вправа також охоплює документування Вашого обґрунтування при відмові у запиті як явно необґрунтованому. Помилка в будь-якому напрямку коштує дорого: обробка шахрайського запиту витікає персональні дані, а неправомірна відмова у законному запиті спричиняє регуляторні скарги.

Що ви дізнаєтесь у Виявлення шахрайських DSAR

• Ідентифікувати тривожні ознаки в поданнях DSAR, що вказують на соціальну інженерію або імітацію особи
• Застосовувати пропорційні процедури верифікації особи, що виявляють шахрайство без обтяження законних заявників
• Коректно використовувати підстави статті 12(6) GDPR при відмові у явно необґрунтованих або надмірних запитах
• Документувати кроки верифікації та обґрунтування відмови, що витримують перевірку наглядового органу
• Ескалювати підозрілі DSAR через відповідні внутрішні канали, зберігаючи 30-денний графік відповіді

Виявлення шахрайських DSAR — Кроки навчання

1. вступ

   Сьогодні ви дізнаєтесь, як зловмисники використовують правила GDPR, щоб викрасти особисті дані за допомогою шахрайських DSAR.

2. Терміновий запит

   Аліса починає свій ранок з перевірки вхідної скриньки DSAR. Серед звичайних прохань один лист відразу привертає її увагу агресивним тоном і терміновою темою. В електронному листі стверджується, що він надійшов від «Маркуса Томпсона», вимагаючи надати всі особисті дані протягом 24 годин і погрожуючи судовим позовом.

3. Червоний прапор - помилкова шкала часу

   Аліса одразу помічає щось не так у цьому запиті. Відправник стверджує, що PrivacyFirst має відповісти протягом 24 годин, погрожуючи судовим позовом. Але Аліса пам’ятає зі свого тренінгу GDPR, що фактичні терміни відповіді відрізняються.

4. Червоний прапор - особиста електронна пошта

   Аліса помічає ще один підозрілий елемент — запит надійшов із особистої адреси Gmail, а не корпоративної чи попередньо зареєстрованої електронної пошти. Це незвично для тих, хто стверджує, що є наявним клієнтом.

5. Червоний прапор - агресивний тон

   Погрози в електронному листі та юридичні погрози створені для того, щоб залякати Алісу та змусити її діяти швидко без дотримання належних процедур перевірки. Ця емоційна маніпуляція є класичною тактикою соціальної інженерії.

6. Протокол перевірки

   Незважаючи на агресивний тон, Аліса знає, що вона повинна дотримуватися належних процедур перевірки. Надсилання особистих даних неперевіреному запитувачу саме по собі стане порушенням даних відповідно до GDPR. Її перший крок — перевірити, чи існує Маркус Томпсон у базі даних клієнтів, і перевірити зареєстровану електронну адресу.

7. Пошук записів клієнтів

   Аліса отримує доступ до бази даних клієнтів, щоб знайти Маркуса Томпсона. Якщо він справжній клієнт, у його записі відображатиметься зареєстрована адреса електронної пошти, що дозволить їй перевірити, чи надійшов DSAR від фактичного власника облікового запису.

8. Критичне відкриття

   Пошук клієнта відкриває важливу інформацію: Маркус Томпсон Є справжнім клієнтом, але його зареєстрована електронна адреса m.thompson@techcorp.com повністю відрізняється від адреси Gmail, з якої надіслано DSAR. Це підтверджує підозри Аліси - хтось намагається видати себе за реального клієнта, щоб викрасти його дані.

9. Початок належної перевірки

   Відповідно до протоколу компанії, Аліса тепер надішле запит на перевірку REAL Маркусу Томпсону, використовуючи його зареєстровану електронну адресу m.thompson@techcorp.com, а не адресу, надану в підозрілому запиті. Це гарантує, що лише фактичний клієнт може підтвердити свою особу.

10. Шахрай пройшов перевірку

    Запит на перевірку на адресу m.thompson@techcorp.com отримує плутану відповідь від СПРАВЖНЬОГО Маркуса Томпсона, який підтверджує, що він ніколи не робив жодного запиту DSAR. Тим часом зловмисник надсилає все більш агресивні подальші електронні листи на скриньку вхідних повідомлень DSAR, вимагаючи знати, чому дані не були надіслані.