L’email con gli occhi

Una associazione di consumatori americana, la People for Internet Responsibility (www.pfir.org) ha iniziato di recente una battaglia contro una minaccia alla nostra privacy. Si tratta di una collezione di metodi utilizzati da organizzazioni commerciali per seguire i flussi di posta elettronica.
Su Internet molti venditori senza scrupoli mandano proposte commerciali non richieste ai consumatori usando la posta elettronica: chi ha un indirizzo email da almeno un anno quasi certamente ne ha ricevuta almeno una. Gli “spammer”, come vengono chiamati in Rete, inviano quotidianamente messaggi a milioni. Il loro sogno è quello di sapere con precisione quali e quanti destinatari non hanno ricevuto il messaggio (magari l’indirizzo era sbagliato o scaduto), quanti l’hanno cestinato senza leggerlo, quanti invece l’hanno aperto.
Uno dei metodi segnalati dallo PFIR permette proprio questa rilevazione. La posta elettronica tradizionale è composta da testo puro, ma di recente ha preso piede anche la posta in formato HTML, che può contenere immagini. Queste immagini vengono scaricate dalla rete solo quando il messaggi viene aperto (non sono infatti allegate al messaggio). Uno spammer dunque può controllare quante volte una immagine è stata richiesta e inviata per sapere quante volte la sua pubblicità è stata letta.
Sin qui, si ottiene una semplice statistica: spediti un milione, letti centomila. Ma è solo l’inizio. Alcuni spammer aggiungono al nome della immagine un numero seriale che identifica univocamente il messaggio. In altre parole, il messaggio spedito all’indirizzo numero 1, contiene un riferimento all’immagine FOTO1; il messaggio numero 2 richiama l’immagine FOTO2 e così via per un milione di volte. Il computer che invia la foto su richiesta risponderà a tutte le richieste spedendo la stessa identica immagine (ignorando il numero ma prendendone nota). A questo punto lo spammer, grazie al numero di serie, scopre anche chi esattamente ha letto la sua missiva. Il metodo è molto efficace, al punto che una società spammer ne ha fatto il suo prodotto di punta e il suo nome: la “I Trace You” (www.itraceyou.com).
Le cose si fanno ancora più complesse se l’ignaro destinatario usa Outlook Express, la popolare (perché gratuita) applicazione per la gestione di posta elettronica sviluppata da Microsoft; oppure Netscape Communicator. In quel caso l’applicazione è in grado di eseguire piccoli programmi incorporati invisibilmente all’interno del messaggio di posta HTML: i JavaScript. Un JavaScript può contattare invisibilmente lo spammer se il messaggio viene inoltrato a un’altra persona, segnalando anche data ora e indirizzo.
La principale società di spamming a offrire quest’ultimo servizio è oggi la coreana Postel. L’azienda può aggirare le severe regole di tutela della privacy di cui si è dotato l’occidente a causa della sua nazionalità. Il metodo è per ora poco utilizzato, ma è probabile che finisca per diffondersi: secondo l’istituto di ricerca Jupiter Communications, circa il 60% degli utenti al mondo usa una tra le due applicazioni citate. Neppure i filtri software di protezione di cui si sono dotati (pagando) alcuni utenti particolermente sensibili alla propria privacy sono oggi in grado di bloccare queste segnalazioni, secondo Woodrow Mosqueda, portavoce della McAfee, oggi il maggior produttore di soluzioni del genere.
Come difendersi? Se usate un modem per Internet, leggete la mail solo quando siete scollegati. Se usate Netscape, disabilitate nelle preferenze il JavaScript per la posta. In tutti gli altri casi, prendete in considerazione la possibilità di cambiare programma per la posta.