Alcuni provider sono più “bravi” di altri a proteggere le nostre caselle di posta. I pericoli del web che pretende dati e identità.
Una compagnia chiamata QualityTrade vuole convincermi a certificare una mia ipotetica azienda; Poste Italiane invece mi avverte che sta per “inserire il servizio di sicurezza con il codice Otp”. Il testo della mail è sgrammaticato e all’interno c’è un link che mi porterebbe a verificare i miei codici e, cito testualmente: “Per riabillitare la tua PostePay dovraiοcliccare sul link e insesire i dati richesti per provvedere con la verifica della tua identita”. Ovviamente c’è qualcosa che non va ma, testo sgrammaticato a parte, stanno diventando sempre più bravi: l’indirizzo del mittente è servizio.clienti@posteitaliane.it, mentre quello “ufficiale” di Poste dovrebbe essere @poste.it. La polizia postale raccomanda sempre di fare attenzione ai dettagli, ma a volte non è così semplice.
Il primo esempio sulle certificazioni è riconducibile al fenomeno chiamato spam, il secondo è un chiaro tentativo di phishing. “Lo spam è l’attività volta ad inviare messaggi promozionali non desiderati dagli utenti. – spiega Emanuele Pisapia, company director di Lenus Media – chiunque, attraverso un indirizzo email o un social network, può promuovere un evento o un prodotto senza che l’interlocutore abbia espresso il suo esplicito consenso a ricevere tali messaggi. Per phishing intendiamo invece l’attività informatica di fingersi un ente o un sito (di solito banche e siti di pagamenti online) per invitare gli utenti ad inserire le proprie credenziali all’interno di siti web creati appositamente per rubare le credenziali dei poveri malcapitati. Il termine deriva dall’inglese fishing ovvero pescare”.
Per il phishing, trattandosi essenzialmente di un tentativo di truffa, è facile intuire come guadagni chi lo pratica, ovvero appropriandosi dei dati bancari altrui e svuotando il conto; gli spammers, invece, puntano sulla quantità. Inviando migliaia di email pubblicitarie è stimato che una piccola parte degli utenti del web acquisti effettivamente il prodotto offerto. “Non sono molte le ‘società’ che investono in spam e phishing – afferma il direttore di Lenus – molto spesso dietro queste attività criminose si celano piccoli gruppi o molto più spesso singoli individui che sfruttano internet per arricchirsi e compiere piccole e grandi frodi informatiche ai danni dei cittadini ed aziende meno ‘preparate’ a riconoscere le loro trappole. I più colpiti sono i giovanissimi e gli anziani”.
Su ogni vendita conclusa grazie alla loro mail, opportunamente tracciata, gli spammers guadagnano una percentuale. “Una piccola evoluzione di tali pratiche è lo scam – continua Pisapia – si invitano cioè gli utenti a ricevere grossi guadagni o prodotti gratuiti al fine di raccogliere informazioni bancarie o dati personali per poi utilizzarli per accedere alle identità digitali dei malcapitati. Un esempio è l’invito a ricevere del denaro da paesi extra Ue anticipando piccole somma in cambio di promesse di trasferimenti ingenti”.
I casi di email che ho descritto in apertura li ho trovati facilmente sulla mia casella di posta. Utilizzo Gmail in maniera gratuita: automaticamente Google, in qualità di provider, mi sposta in una cartella apposita chiamata appunto spam tutti i messaggi sospetti. Vengono cancellati ogni 30 giorni, ma costantemente questa cartella contiene tra i 30 e i 50 messaggi di posta. Google utilizza un algoritmo ed un filtro antispam e può capitare che anche messaggi innocui finiscano qui dentro, per cui periodicamente verifico che non ci sia nulla di interessante. Gmail raramente sbaglia e posso dire che mi tiene al sicuro. Ma cosa accade quando la nostra casella di posta ci tradisce? È un bel problema, non solo per i rischi che si corrono: il flusso di spam è costante, invadente. La casella si riempie e non c’è più spazio per i messaggi importanti, che tornano indietro.
Uno dei servizi maggiormente colpito negli ultimi tempi è quello di Tim con le estensioni @tim.it, @alice.it e @tin.it. A causa probabilmente di filtri antispam non proprio efficienti, o almeno non così semplici da attivare, si creano situazioni disastrose. “Da anni mi ostino ad utilizzare un mio vecchio indirizzo tin – spiega Maria Pia – che pago ben 70 euro l’anno. Un costo esorbitante al giorno d’oggi che non comprende nemmeno una buona protezione dallo spam. Ricevo decine e decine di messaggi al giorno, per cui la mia casella è quasi sempre inutilizzabile. Non credo che continuerò a pagare questa cifra inutilmente”. Tra la fine dello scorso anno e l’inizio del 2018 la situazione è addirittura peggiorata: per alcuni giorni centinaia di utenti non sono riusciti ad accedere alla propria casella di posta. Sui forum si trova ancora traccia di questi problemi.
“Dal 1 dicembre – dice Franco – non riesco ad accedere alla mia casella tin.it. Ho inviato, senza alcun esito, due segnalazioni scritte. Ho provato una ventina di volte a contattare il numero verde: ogni volta mi fanno aspettare al telefono diversi minuti, promettendomi una risposta, per poi invitarmi a telefonare in seguito. Che cosa fare?”. Gli fa eco Enzo: “Ad oggi ancora niente, anzi sono sparite anche le cartelle personali dove avevo salvato cose importanti. Addirittura la barra mi da spazio occupato al 100%. Io lavoro con questa mail. Disastro totale”.
Torniamo allo spam: tutti, chi più chi meno grazie a servizi di posta diversamente efficienti, siamo colpiti da questo problema. Per capire come difenderci, è bene comprendere prima di tutto come ci attaccano. “I malintenzionati riescono a recuperare i nostri indirizzi – spiega ancora Pisapia – perché utilizziamo le nostre email ovunque e le pubblichiamo (coscientemenete e non) per accedere a tantissimi servizi online. Una delle pratiche più errate è iscriversi a servizi online utilizzando la nostra email e, magari, la stessa password utilizzata per altri servizi più riservati come possono essere i nostri account sociali o gli account bancari. E’ sempre utile avere una password riservata e personale da utilizzare per i servizi in cui riponiamo fiducia e una password ‘secondaria’ da usare per i servizi ‘usa-e-getta’.
Per raccogliere email esistono tante possibilità: dall’effettuare ricerche tramite Google utilizzando degli operatori di ricerca speciali (provate a cercare il vostro indirizzo email su Google per scoprire se è pubblicamente accessibili su un sito o un forum) fino all’istruire piccoli programmi informatici ad analizzare migliaia di pagina in automatico ed estrapolare gli indirizzi email da utilizzare per attività di spam. Un’altra modalità è quella di tentare di accedere a database di ecommerce e siti web per estrapolare tali informazioni. Ovviamente tutte queste pratiche sono illegali e perseguibili a norma di legge”.
Passiamo alla difesa. “Innanzitutto è bene essere preparati, – conclude il company director di Lenus – tutti noi riceviamo decine di email al giorno. Molto probabilmente l’80% di queste sono servizi di notifica e messaggistica, oltre che spam e altre comunicazioni pubblicitarie (richieste e non). L’invito che faccio è quello di ‘gestire’ la propria posta elettronica con alcune pratiche molto semplici: 1) disiscriversi da tutte quelle comunicazioni che non sono gradite (comunicazioni promozionali, avvisi dai social network, pubblicità); 2) segnalare come spam o aggiungere al proprio filtro antispam tutte quelle email non desiderate che non consentono di disiscriversi dalla loro ricezione (in questa maniera aiuteremo il nostro provider ad indentificare con maggiore efficacia i messaggi a noi graditi); 3) leggere sempre con attenzione i messaggi alla ricerca di alcuni segnali come errori di ortografia, testi parzialmente in altre lingue.
Se un messaggio dovesse essere dubbio ricordatevi che nessun servizio vi chiederà mai la vostra username e password per confermare dati o il proprio conto corrente, e che tutti i siti che visitate devono avere necessariamente la dicitura ‘Sito sicuro’ e il prefisso ‘https://’ che offre una maggiore garanzia di sicurezza rispetto ad un sito che non dispone di tale sistema di protezione. Da smartphone l’analisi di quest’ultimo punto è più difficile poiché i telefonini mostrano un minor numero di informazioni nella barra degli indirizzi. Quindi, soprattutto quando navigate dal vostro cellulare raddoppiate l’attenzione ed indagate sempre prima di regalare le vostre password al primo che capita”.