DI MAIL IN PEGGIO – ANCHE VOI RICEVETE CENTINAIA DI MESSAGGI DI POSTA ELETTRONICA CHE TERMINANO CON “CLICCA QUI PER ANNULLARE L’ISCRIZIONE”? ATTENTI A CLICCARE, POTREBBE ESSERE UNA FREGATURA – IN ALCUNI CASI, SI TRATTA DI UN METODO PER FREGARVI I DATI PERSONALI, OPPURE PER FAR SAPERE AI CYBER-CRIMINALI CHE SI TRATTA DI UN INDIRIZZO ATTIVO, RENDENDOVI UN BERSAGLIO VULNERABILE PER ATTACCHI FUTURI – IL CONSIGLIO DEGLI ESPERTI È DI…
Traduzione di un estratto dell’articolo di Heidi Mitchell per il “Wall Street Journal”
Ci sono momenti in cui la vostra casella di posta elettronica sembra essere sotto assedio, con decine di e-mail che vi arrivano ogni giorno, offrendovi di tutto, da offerte di viaggio dell'ultimo minuto a consigli discutibili sulla criptovaluta. Quasi tutte le e-mail terminano con lo stesso invito: Clicca qui per annullare l'iscrizione.
Prima di farlo, però, considerate questo: sebbene da tempo ci sia stato detto che “annullare l'iscrizione” è un modo semplice e sicuro per uscire da liste di e-mail a cui non ci siamo mai iscritti o che non ci interessano più, non è sempre così. Infatti, gli esperti di sicurezza informatica avvertono che, in molti casi, cliccare su quel link potrebbe fare più male che bene.
"La fiducia è relativa. Mi fido del mio client di posta elettronica, ma non mi fido di quello che c'è dentro l'e-mail", dice TK Keanini, Chief Technology Officer di DNSFilter, che vende software per la sicurezza informatica. Una volta che si clicca sul link di annullamento dell'iscrizione di un mittente, avverte Keanini, “si lascia l'ambiente sicuro e strutturato del client di posta elettronica e si entra nel web aperto”, dove si affronta una nuova e inedita serie di minacce.
[…] DNSFilter ha scoperto che un clic su 644 su link di disiscrizione che dicono “clicca qui per disiscriverti” porta gli utenti a siti web potenzialmente dannosi.
Secondo gli esperti, il rischio minore è che i malintenzionati che hanno acquisito l'indirizzo e-mail dell'utente stiano verificando se si tratta di un indirizzo attivo. Facendo clic sul link di annullamento dell'iscrizione, “si comunica agli aggressori che si è una persona reale che interagisce con lo spam”, afferma Michael Bargury, chief technology officer e cofondatore dell'azienda di sicurezza Zenity […]. Questo potrebbe non causare danni immediati, ma “può rendervi un bersaglio più grande in futuro”.
Una volta che i malintenzionati sanno che un indirizzo e-mail appartiene a una persona reale che presta attenzione, possono iniziare a costruire un file su quell'utente nella speranza di estorcere denaro attraverso l'ingegneria sociale o qualche altra truffa, afferma Charles Henderson, vicepresidente esecutivo dei servizi di cybersecurity presso la società di sicurezza Coalfire.
Un altro rischio associato ai link di annullamento dell'iscrizione è quello di inviare l'utente a una pagina web falsa ma dall'aspetto autentico, dove i criminali cercano di ingannare l'utente fornendo le sue credenziali di accesso o tentando di installare malware sul suo dispositivo.
"Se il sito reindirizzato vi chiede la password per annullare l'iscrizione, è un segnale di allarme", dice Bargury. "Non fatelo". Aprite invece una nuova finestra e navigate sul sito web del presunto mittente e modificate manualmente le vostre impostazioni di comunicazione senza cliccare su alcun link nel corpo dell'e-mail.
Alcune aziende legittime inviano gli utenti ad altre pagine di destinazione e chiedono loro di reinserire il proprio indirizzo e-mail per cancellarsi dalla lista e-mail dell'azienda. È probabile che lo facciano "perché l'architettura del sistema di cancellazione delle e-mail sfrutta un unico link di cancellazione per tutti i destinatari", quindi non è personalizzato per ogni indirizzo e-mail, afferma Henderson. Tuttavia, non clicca mai sui link incorporati nel corpo di un'e-mail inviata da qualcuno con cui non ha mai avuto uno scambio di e-mail.
"Se non ci si fida della fonte, perché ci si dovrebbe fidare del suo link di cancellazione?". dice Henderson.
È possibile che fare clic su un link di annullamento dell'iscrizione nel corpo di un'e-mail possa esporre il dispositivo dell'utente al malware, ma non si tratta di una tattica molto efficace per i malintenzionati, afferma Henderson.
Affinché i criminali riescano nel loro intento, secondo Henderson, è necessario che tre cose si allineino: l'utente deve utilizzare una versione del browser con una vulnerabilità sconosciuta; i criminali devono prendere di mira lo specifico browser vulnerabile in uso e l'utente deve aver cliccato sul falso link di annullamento dell'iscrizione.
[…]
Tutti e tre gli esperti affermano di trovarsi generalmente a proprio agio nell'utilizzare le "intestazioni di disiscrizione", ovvero i pulsanti integrati con collegamento ipertestuale gestiti da molti provider di servizi di posta elettronica e posizionati nell'intestazione delle e-mail, che offrono agli utenti un modo semplice per rinunciare alle e-mail. Questi pulsanti sono generalmente più sicuri rispetto ai link di cancellazione presenti nel corpo delle e-mail, perché non portano l'utente sul web.
[…]
La funzione "Nascondi la mia e-mail" di Apple, invece, consente agli utenti di generare indirizzi e-mail unici e casuali che vengono inoltrati automaticamente alla loro vera casella di posta elettronica. In questo modo, gli utenti possono iscriversi a servizi, fare acquisti e ricevere coupon, tra le altre cose, mantenendo il proprio indirizzo e-mail privato. Gli utenti di Chrome e Firefox possono scaricare e utilizzare estensioni simili per la privacy.
