Spamming, non aprite quella posta

"Vede? Sono quasi novemila messaggi di spam. E sono arrivati in soli due mesi". Mattia Monga, ricercatore dell'Università degli Studi di Milano e responsabile delle relazioni internazionali del Cert italiano, la struttura accademica per la risposta alle emergenze informatiche di Internet, indica sullo schermo del computer la sua casella di posta elettronica.
Una invasione di pubblicità di tutti i generi, talvolta offensive, altre volte oscene, sicuramente non richieste. Un catalogo digitale delle miserie umane. In realtà, solo una goccia dell'oceano di posta spazzatura inviata dai famigerati "spammer": 14 miliardi sul totale di 20 miliardi di messaggi che ogni giorno attraversano la rete.
Quando nel 1972 un pacifico ingegnere statunitense, Ray Tomlinson, scelse la chiocciola come simbolo distintivo della posta elettronica, non avrebbe mai immaginato che un giorno Intemet sarebbe stata assediata da un'alluvione di messaggi non sollecitati. Che, se nessuno farà niente, secondo la società di ricerca califoniana Radicati Group diventeranno 35 miliardi nel 2005, e 142 entro il 2008. Un danno per le aziende stimato da Fenis Research in 10 miliardi di dollari l'anno, un fastidio sempre più insostenibile per gli utenti comuni. "Se continua così, quello che succederà - dice David Heckermann, del gruppo di ricerca di Microsoft che cerca di trovare delle soluzioni al problema dello spam - sarà semplicemente che la gente smetterà di utilizzare la posta elettronica".
"In realtà aggiunge Monga - il problema dello spam è molto più difficile da risolvere di quello che non sembri. Innanzi tutto perché bisogna decidere che cosa è spam oppure no, poi perché gli spammer sviluppano sempre tecniche nuove, un passo avanti ai sistemi di protezione".
Per quanto siano tantissime le mail che circolano, in realtà il numero degli autori parrebbe essere molto limitato: meno di duecento persone controllano il business paralegale dello spam e sono i responsabili del 90% dei messaggi spazzatura in circolazione, secondo il calcolo dell'osservatorio non-profit Cauce. Si tratta di una mutazione genetica del mail marketing, spesso messa in atto da vere e proprie bande criminali, truffatori che si sono riciclati nel mondo elettronico e che vendono i loro servigi ad aziende con pochi scrupoli.
Queste ultime sono spesso piccole società in cerca di facili guadagni nel settore della pornografia, nella diffusione di medicinali senza autorizzazione o addirittura vere e proprie società fantasma che propongono truffe belle e buone (finanziamenti, mutui, forme di commercio "senza rete") agli ingenui utenti della posta.
Come funzioni la posta elettronica è già stato scritto migliaia di volte. Come facciano gli spammer a conquistare i nostri indirizzi è invece meno banale. Uno dei meccanismi più antichi, che risale all'epoca della posta pubblicitaria convenzionale, è quello della compravendita di liste di indirizzi, ottenute magari rubando gli archivi legittimi di aziende o associazioni. Ma spesso queste liste vengono generate dai "ragni" del Web, un tipo di software robot che si aggira per Internet raccogliendo gli indirizzi pubblicati sulle pagine Web, magari quelle aziendali o nei curricula raccolti da siti specializzati.
Un altro sistema ancora più ingegnoso consiste sempre nel cercare gli indirizzi nel Web, utilizzando però comuni motori di ricerca come Google. Basta usare la chiocciola come parola chiave e i risultati sono sorprendenti. Infine, il sistema pensato all'inizio dell'epopea degli spammer: la forza bruta. Una volta individuato l'indirizzo di un server di posta elettronica (la parte a destra dopo la chiocciola), il computer dello spammer inizia a chiedere al server se esiste l'indirizzo "aa", poi "ab", "ac", fino a saturare le combinazioni alfanumeriche.
In questo modo gli spammer, per esempio, hanno potuto mappare gli utenti di Hotmail, il popolare servizio di posta elettronica gratuito negli Usa di proprietà di Microsoft. E una sorta di pesca alla cieca, in cui l'utente come unica difesa ha quella di non aprire i messaggi "sospetti". Basta un semplice click per notificare allo spammer che il messaggio è giunto a destinazione e quindi che l'indirizzo era esatto e funzionante. Il suo archivio viene aggiornato e il malcapitato si trova iscritto a vita nel libro mastro degli spammer.
Non tutte queste attività sono illegali, ma sicuramente sono redditizie: una percentuale dell'uno per mille (secondo alcune statistiche anche dello 0,05%) basta a ripagare il costo irrisorio delle spedizioni. E per quanto possa sembrare incredibile, c'è molta gente che continua a cascarci. Anche quando si tratta di vere e proprie frodi che circolano dall’inizio del Novecento prima sotto forma di lettera e adesso di email, alla ricerca di creduloni che rispondano.
Per difendersi dallo spam, gli strumenti immediatamente a disposizione non sono molti e non tutti sono a disposizione dell'utente. Si può ricorrere a filtri sia sul server che sul computer della singola persona. Ne esistono di vario genere, con tipi di performance diversa. Alcuni sono statici, cioè si basano su regole linguistiche cercando parole-chiave nelle mail. Altri sono adattivi, cioè "imparano" a riconoscere lo spam dalla posta legittima grazie alle indicazioni fornite dall’utente, utilizzando magari i sofisticati algoritmi che prendono il nome dallo statistico britannico del Settecento Thomas Bayes. Ma nessun filtro ha una accuratezza del 100%, anche perché, sottolinea Monga, "sarebbe necessario che il software potesse capire veramente il significato di quello che c'è scritto nella mail". E questo, oltretutto, pone anche problemi consistenti di privacy.
Qualunque sistema uno scelga, un metodo di difesa per tutti c'è: "Diversificare la propria identità digitale - dice Monga - usando indirizzi di posta elettronica differenti per scopi diversi. Uno per il lavoro, uno per la banca, uno per gli amici e così via. In questo modo, diventa più facile mettere in quarantena l'indirizzo che cade in mano agli spammer", cancellando così in un colpo solo lo spam e l'identità digitale bersagliata. Crearne una nuova, in fondo, non costa niente.

Gli attacchi e le contromisure

COME ATTACCA LO SPAMMER

Furto con scasso
Lo spammer "costringe" il server di posta elettronica a rivelare uno per uno tutti gli utenti delle caselle di email, combinando le lettere dell'alfabeto oppure usando database di nomi e cognomi più comuni

La vendita di liste
Furti negli archivi, questionari-civetta: sono solo alcuni dei trucchi con i quali si creano liste di indirizzi che poi vengono rivendute agli spammer. Se un indirizzo finisce in una di queste liste, è più facile passare a uno nuovo che non combattere contro il flusso di spam

Gli spider del web
I "ragni" sono programmi robot che setacciano la rete lnternet alla ricerca degli indirizzi di posta esposti nelle pagine web. In genere le ricerche sono focalizzare sul simbolo della chiocciola, per questo ad esempio basta sostituire “@” con con “(AT)” per ingannare molti spider

STRATEGIE DI DIFESA

Più indirizzi, meno rischi
La parola d'ordine è diversificare: usare account di posta diversi per operazioni differenti. Uno per lavoro, uno per gli
amici, uno per iscriversi al servizi ondine della banca. E per quelli a rischio, indirizzi sacrificabili da chiudere
se arriva troppa posta indesiderata

I filtri locali e sul server
I filtri per la posta diventano sempre più intelligenti, ma non sono certo infallibili. I provider offrono una prima linea di difesa sui propri server, ma si possono anche utilizzare programmi di filtro locali. Il vantaggio è che la gestione è tutta dell'utente, il difetto però è che per riconoscere lo spam bisogna prima scaricarlo

Attenzione ai siti web
Un tempo solo pochi avevano la casella di posta elettronica e le pagine Web erano una rarità. Oggi, senza che si sappia, il nostro indirizzo potrebbe comparire in decine e decine di pagine. Il segreto è cercarlo, magari con un motore come Google, contattare il webmaster e chiederne la rimozione