Insidie che possono arrivare con lo spam

Messaggi formattati HTML e cookie - Programmi dialer



In generale non ci sono particolari motivi per temere, da un singolo messaggio di spam, pericoli quali il contagio di virus. In fondo, un virus come attachment può sì arrivare entro uno spam ma in teoria anche da parte di un amico un po' pasticcione e maldestro nell'usare il computer. Purtroppo, anzi, pure chi non sia pasticcione rischia di propagare virus, se utilizza prodotti (sistema operativo e programma di posta) non sicuri. Una elementare regola di prudenza che tutti sicuramente conoscono è che, ricevendo in email un file .exe da uno sconosciuto o da una persona sulla cui competenza e affidabilità non ci si senta di contare troppo, la cosa che assolutamente va evitata è mandare quel file in esecuzione. Se si è così incauti da farlo, si può rischiare di tutto: trovarsi installato Back Orifice o altri software che, del tutto all'insaputa del legittimo utilizzatore del computer, possono fare qualunque attività che mai si vorrebbe fare (dallo spedire dati riservati ad un indirizzo di email in Cina a tante altre cose che possono perfino procurare dei guai). Qui si entra nel campo, affascinante ma molto complesso, delle problematiche relative alla sicurezza in rete. Non possiamo affrontare qui l'argomento anche perché, come ho detto, con lo spam questi problemi non acquisiscono una gravità maggiore di quella che avrebbero comunque. È però il caso di descrivere una insidia alla sicurezza per il cui funzionamento lo spam è essenziale.

Il trucco

Supponiamo di ricevere uno spam formattato in html come il seguente:

Dear Valued Customer,<BR><BR>
....
If you do not wish to receive these special
e-catalogs from Spamming Magazines, then reply to this email with the word
"remove" in the subject line.<BR><BR>Happy shopping and have a great holiday
season from all of us at Spamming Magazines. <IMG height=1
src="http://sito-dello-spammer.com/asp/email_type.asp?id=123456789" width=1>

Apparentemente è uno spam come tanti, con il solito invito al remove. Ciò che c'è di nuovo rispetto a quelli visti finora è la formattazione in html. In generale non è affatto una buona idea usare l'html nelle email (non è lo standard e la maggior parte delle persone ne sono infastidite). Soprattutto, non è una buona idea usare dei mailreader che, di fronte a tali messaggi, svolgano funzioni di browser per rappresentarli come se fossero normali pagine web.

Purtroppo, vari mailreader assai diffusi fanno proprio questo: utilizzano le funzionalità di base del browser per formattare il messaggio e visualizzarlo conformemente a tutti i tag in esso contenuti. Una delle prime conseguenze a cui si può pensare è che, aprendo una email html mandata da uno sconosciuto (per esempio da uno spammer), potrebbero andare in esecuzione eventuali script. Si tratterebbe in questo caso di una insidia tutto sommato abbastanza ovvia. Esiste però anche una insidia più sottile, che vediamo contenuta nel messaggio riportato poc'anzi.

Come si può notare, il messaggio contiene il seguente tag:

<IMG height=1 src="http://sito-dello-spammer.com/asp/email_type.asp?id=123456789" width=1>

Si tratta di una immagine dalle dimensioni in pixel di 1 x 1, ossia una immagine invisibile, che il browser scarica dal sito dello spammer e che ovviamente non ha alcuna funzione nella visualizzazione della pagina. Però se lo spammer l'ha messa a qualcosa serve sicuramente. Guardando meglio si vede che l'immagine non è un file come tanti, ma viene generata da un programma al quale viene passato un parametro: quell'id=123456789

Potete scommettere che l'id=123456789 è un numero in precisa corrispondenza con l'indirizzo di email a cui lo spam è stato spedito. In altre parole, quando il browser scarica quella inutile immagine dal sito dello spammer, di fatto lo informa che il titolare della mailbox tal dei tali ha effettivamente ricevuto e letto quello spam. Nel caso l'ipotesi sembrasse troppo ardita, basti vedere quest'altro esempio, arrivato a me su una vecchia mailbox ora non più attiva. Vediamo la mailbox esplicitamente indicata tra i parametri nella url dell'immagine:

<html><title>The #1 Ranked Money Opportunity!</title><body bgcolor="white">
<div align="center">
<p><font face="Impact" size="4">Freedom, Security and Wealth in the New Millennium!</font></p>
<p><b><font face="Arial">Now is your chance to help insure your Future!!</font></b><br>
[...]
<p><font face="Arial">
<img src="http://impact.databuilding.com/biz/?ce=1&email=leonardoc@my-dejanews.com" alt="" height="1" width="1" />
<font size="2">=====================================================================</font><br>
<font size="1">This message is intended for individuals who are interested in our offer and has been double verified. If this
<BR>message has reached you in error, we apologize for the inconvenience.<BR>
(tronchiamo qui)

La cosa potrebbe già essere abbastanza fastidiosa così, ma non è finita qui: un'altra cosa che potete dare per scontata è che, quando il browser scarica l'immagine, il server a cui l'immagine viene richiesta (nel primo esempio è sito-dello-spammer.com) spedirà un cookie. Il cookie conterrà a sua volta una qualche informazione (magari una stringa di caratteri apparentemente senza senso) che ovviamente, su un apposito archivio tenuto o dallo spammer o dall'organizzazione che dello spammer si è avvalsa, risulterà in corrispondenza con l'indirizzo di email al quale lo spam era stato mandato.

Siamo così arrivati a questa situazione: colui che ha ricevuto questo spam ha ora, entro il proprio browser, un cookie il cui valore consente, a qualcuno da qualche parte, di ricavare il suo indirizzo di email. Da questo momento, ogni volta che il browser invierà una richiesta http al server sito-dello-spammer.com, non importa se per prelevare una pagina, una immagine o che sia, tra gli header della richiesta rimanderà al server il valore scritto nel cookie. Tanto per essere più chiari si può immaginare che, in qualunque occasione il browser avesse di nuovo a che fare con quel server, gli si presenti dicendo: "Salve, io sono lo stesso utente che tu hai già spammato all'indirizzo taldeitali@mioisp.com". In realtà la maggior parte dei browser non rivela esplicitamente l'indirizzo di email, ma già il ritrasmettere al server il contenuto del cookie rende possibile, per l'organizzazione che utilizza quel server, stabilire la corrispondenza e risalire così all'indirizzo di email.

Immaginiamo infine, per completare il quadro, che molti siti di vario genere abbiano, nelle loro pagine, banner o immagini più o meno nascoste la cui url faccia riferimento a sito-dello-spammer.com: non c'è nulla di strano, la maggior parte degli utenti non fa assolutamente caso a cosa scarica, oltre al contenuto vero e proprio, dai siti che visita (sarebbe del resto praticamente impossibile). Il risultato sarà che qualcuno potrà tenere una cronistoria dei siti visitati dal titolare di quell'indirizzo di email e, tenendo conto che lo stesso spam viene inviato come al solito anche a molte migliaia di altri indirizzi, il solito qualcuno disporrà presto di un elenco di indirizzi con gli argomenti preferiti da ciascuno. In altre parole, non un indirizzario di email qualunque, ma un indirizzario da cui si possono operare selezioni per area di interesse. Un indirizzario, quindi, dal valore commerciale molto alto.

Vi sembra che tutto ciò sia un po' fantascientifico? Una volta lo sarà anche stato, ma ora questo trucchetto dell'immagine nascosta + cookie viene segnalato sempre più spesso, tanto che per indicare questa tecnica è stata creata l'apposita locuzione web bug. Probabilmente sono solo diventati disponibili dei software in grado di supportare le necessarie elaborazioni.

Per evitare fraintendimenti servono ancora alcune precisazioni in merito ai web bug:

  1. Non è vero che qualsiasi immagine dalle dimensioni 1x1 sia necessariamente un web bug: talvolta immagini 1x1 vengono usate anche a semplici fini di allineamento e formattazione della pagina (la cosa è anzi molto frequente quando la pagina viene disegnata partendo da una visione presentazionalistica dell'html).
  2. Quand'anche una immagine nascosta sia usata a scopo di tracking o monitoraggio degli accessi alla pagina, non è detto che la cosa sia sicuramente negativa o criticabile. Non c'è nulla di male se un webmaster vuole avere un'idea su quali pagine siano più accedute e quali meno. Tra l'altro, l'uso di immagini a scopo di monitoraggio (come nel caso dei comuni contatori) dà, per varie ragioni, risultati piuttosto grossolani che possono al massimo ritenersi indicativi solo come tendenza nel tempo. Ciò che inizia ad essere discutibile è quando il sito impone al computer del visitatore una sorta di "collaborazione" finalizzata al farsi riconoscere, senza che l'utilizzatore lo sappia. Decisamente inaccettabile è, infine, il fatto che l'individuazione del visitatore sia associata all'indirizzo di email, in modo da consentire di meglio sfruttare tale indirizzo ai danni del legittimo proprietario.
  3. Non è affatto detto che tutti i web bug siano nascosti. Qualsiasi banner potrebbe svolgere tale funzione: magari il banner è visibilissimo, il fatto che agisca da web bug lo è molto meno (si può sospettare tale funzione se la url dell'immagine punta ad un web server diverso da quello della pagina su cui il banner è collocato, tuttavia non esiste un metodo tecnicamente certo per distinguere sempre i web bug da immagini non usate a scopo di tracking).
  4. I web bug possono essere diffusi anche sui newsgroup usenet. A questo proposito ne sono potenzialmente portatori tutti i messaggi formattati HTML (specialmente gli spam). Trattandosi di messaggi diffusi su aree pubbliche e non inviati individualmente come nel caso degli spam in email, i web bug su usenet non consentono di stabilire associazioni nuove con indirizzi di email. Possono però aggiungere informazione alle associazioni cookie-indirizzo già stabilitesi (o che saranno stabilite in futuro). Come dire che, nel database dell'organizzazione di marketing in questione, oltre alla lista dei siti web visitati dal titolare di un certo indirizzo di email si avrà pure la lista dei newsgroup da lui letti. Una ragione in più per utilizzare newsreader che presentino i messaggi in semplice forma testuale, senza attuare le eventuali formattazioni html.

Un altro pericolo: i dialer

Nei primi mesi del 2002 ha iniziato a diventare comune un nuovo modo per "accedere" alle tasche degli utenti di rete, ossia i programmi dialer. Nello spam tradizionale (come quello che abbiamo visto finora), il destinatario viene tipicamente indotto ad un acquisto o ad un contratto online, sovente concluso mediante compilazione di un form su un sito web o mediante contatto diretto da stabilirsi via telefono o fax. Negli spam di questa nuova e più aggressiva generazione, invece, il destinatario viene indotto ad eseguire sul proprio computer un programma dialer, ossia un programma che, preso il controllo del modem che solitamente è connesso al computer usato per l'accesso in rete, effettua una chiamata attraverso la normale linea telefonica dell'utente. Dal punto di vista tecnico, tale chiamata è molto simile ad una qualsiasi connessione dial-up, come quella normalmente usata per l'accesso al proprio provider: si accede ad una rete privata sulla quale sono disponibili certi contenuti (file da scaricare). La differenza sta nel fatto che, anziché trattarsi di una chiamata verso un numero a tariffa urbana, si ha a che fare con numerazioni speciali che gli affaristi del settore chiamano "numerazioni a valore aggiunto". In realtà, come è stato fatto notare da altri, è più giusto parlare di numerazioni a costo aggiunto. Queste numerazioni a costo aggiunto sono riconoscibili dai prefissi (per esempio 709 e 899) e comportano un costo generalmente molto elevato, che l'utente scoprirà in tutta la sua entità solo al momento in cui riceverà la bolletta telefonica.

Naturalmente si possono avere svariate opinioni su questa come su ogni pratica commerciale. C'è chi dice che i dialer visualizzano chiaramente le condizioni ed i costi, e che l'utente deve essere libero di accettarli, tuttavia si sentono anche denunciare casi in cui i costi non sono dichiarati o non sono sufficientemente evidenti, per non parlare del fatto che, tramite questo mezzo, l'acquisto può anche essere effettuato da parte di bambini (mai si ribadirà a sufficienza quanto sia pericoloso lasciare i bambini da soli con computer e modem). A nostro avviso, questa dei numeri a costo aggiunto è solamente una trovata per monetizzare a caro prezzo dei contenuti dal valore assai basso se non nullo, facendo leva sul fatto che, normalmente, il consumatore non si può rendere pienamente conto delle conseguenze (non immediatamente percepibili) dell'uso del programma dialer. Ne è prova il fatto che, tramite questo canale, ciò che più comunemente ci si vede offrire (tralasciando l'onnipresente pornografia) sono loghi/suonerie per cellulari, ossia cose per cui ben difficilmente un utente consapevole sarebbe disposto a spendere più di poche decine centesimi. Se in una situazione di corretto mercato il consumatore vede chiaramente che cosa ottiene, vede chiaramente che cosa gli costa e decide a ragion veduta, le numerazioni a costo aggiunto e i dialer sono un brillante escamotage per saltare questa fase. Per guadagnare non occorre più convincere il cliente della bontà della merce o del rapporto qualità/prezzo, basta metterlo nelle condizioni di cliccare nel punto giusto.

Ecco allora che possiamo tornare in tema: poteva lo spam non diventare il veicolo preferenziale per questo tipo di, ehm, servizi? Certo che lo è diventato. Oggi, se aprite un messaggio di spam, specialmente se di origine italiana (il fenomeno tuttavia è diventato comune in molti paesi), è molto probabile che ci troviate un link ad un sito molto semplice, con pochissime pagine e un po' di grafica, in cui ovunque si clicchi si vede un link che punta ad un file con estensione '.exe'. Talvolta non occorre neppure cliccare: a seconda di come è configurato il browser e di come è stato scritto il sito web, potrebbe succedere che appena arrivati sulla pagina il dialer venga direttamente mandato in esecuzione, senza bisogno di altro. Si tratta di siti che spesso risiedono su servizi di free hosting e che, se chiusi, possono venire riallestiti in brevissimo tempo. Si segnala poi che, in molti casi, non c'è neppure il sito: il dialer viene direttamente spedito come allegato allo spam. Naturalmente ci sono pure spam che fanno a meno del dialer, cercando di stimolare la curiosità di incauti ragazzi e indurli a chiamare linee 709 o 899 in normale fonia.

Come combattere questo fenomeno? Una risposta precisa e risolutiva ancora non c'è. Di certo non è molto efficace cercare la connessione originaria da cui è partito lo spam: probabilmente si giunge ad un proxy aperto in Corea o in altro luogo dove il nostro problema non interessa a nessuno. Far chiudere l'eventuale sito è doveroso, tuttavia il giorno dopo il sito potrebbe riapparire, magari sempre sullo stesso server con un nome leggermente diverso. L'unico punto in cui sarebbe efficace colpire lo spammer è la linea telefonica a costo aggiunto. C'è quindi chi prova a scaricare il dialer e ad esaminarlo nel tentativo di scoprire quale sia il numero telefonico chiamato, operazione che talvolta può riuscire talvolta no. Quando si dispone del numero telefonico, è possibile controllare sul sito del Ministero delle Comunicazioni e scoprire qual è il gestore a cui il numero in questione è stato dato in concessione. Per l'indagine che può essere compiuta da un normale utente, questo è il capolinea. Infatti, quel che si constata normalmente è che il gestore telefonico declina ogni e qualsiasi responsabilità e, ovviamente, se ne guarda bene dal rivelare chi sia l'intestatario della linea in questione, il quale così rimane, almeno per noi utenti, completamente anonimo. Per forza, il gestore telefonico ha il suo bel guadagno su ogni chiamata che giunga alla linea in questione, quindi ha tutto l'interesse che lo spam arrivi a destinazione e che molti, inclusi i vostri figli minorenni, clicchino su quel file '.exe'.

Come proseguire, dunque? Viene suggerito di sporgere protesta presso svariate autorità, da quella per le Comunicazioni, all'Antitrust, al Garante per la protezione dei dati personali, fino alla Polizia Postale. Non esiste tuttavia ancora una guida precisa sulle mosse migliori. Quanto a quel che potrebbe fare la rete e la comunità antispam in generale, si può anche pensare che, prima o poi, le blacklist (di cui si parlerà nelle prossime pagine di questo sito), possano interessarsi ai blocchi ip intestati a quei gestori telefonici che guadagnano sullo spam con dialer, tuttavia la cosa appare problematica sotto molti aspetti. Probabilmente siamo arrivati ad un punto in cui solo la legge ha gli strumenti per poterci venire in aiuto. Il problema è che la legge tende ad essere cauta e a mediare, quindi occorre che i consumatori, magari sensibilizzando le proprie associazioni e suscitando l'interesse dei media, riescano a favorire il varo di leggi che aiutino a contrastare il problema. Per esempio, un primo provvedimento che già sarebbe di aiuto per rendere questi casi meno difficili da trattare sarebbe l'obbligo, per i gestori telefonici, di rendere pubblici i dati sugli intestatari delle linee cosidette a valore aggiunto. Questo ci parrebbe doveroso anche alla luce di elementari concetti di correttezza commerciale, tuttavia non è detto che sarebbe risolutivo, dato che in molti casi potrebbe portare a individuare solamente società straniere possedute con la tecnica delle "scatole cinesi". In definitiva, per riassumere la situazione ad oggi, siamo ancora in alto mare. L'unica cosa finora ottenuta è stato un provvedimento dell'Authority per le Comunicazioni che obbliga i fornitori telefonici a rendere possibile, per i propri utenti, la disabilitazione gratuita dei vari prefissi a costo aggiunto sulla propria linea telefonica. Questa possibilità, che si consiglia comunque di usare, è ovviamente stata attuata in maniera parziale, così da non poter costituire efficace difesa da questo genere di pratiche.


Indice    << Precedente    Successiva >>

Ultimo aggiornamento: 06 aprile 2003

Leonardo Collinelli

e-mail