Lo spam è un problema con cui tutti si scontrano prima o poi. Gli spammer sono alla ricerca continua di nuovi modi per diffondere spam, bypassando i filtri. Fino ad oggi è sempre stato un continuo rincorrersi tra team di cybersecurity e spammers e purtroppo, sebbene esistano ottime soluzioni antispam, di volta in volta anche le migliori vengono bypassate, e i software richiedono aggiornamenti continui per garantire protezione dalle tecniche più aggressive.
Così come per le soluzioni antimalware, anche i software antispam sono inclusi nei test comparativi condotti da diversi tester indipendenti ampiamente riconosciuti. Quello dei test è un affare redditizio per le organizzazioni che li effettuano e molto costoso per i produttori di software antivirus presi in analisi, ed è quindi ovvio che gli sviluppatori di software antivirus mirino a ottenere i risultati migliori. Questo genera un nuovo modello di marketing: la vendita di feed di dati frutto di tecniche di spam sia ai tester sia agli sviluppatori. Si potrebbe dedurre che gli sviluppatori di antispam disposti ad acquistare questo tipo di feed ne trarranno un vantaggio in modo sleale, ma non è questo il tema.
Di recente i ricercatori di ESET hanno rilevato un tester di antivirus che aveva utilizzato un feed di spam per realizzare la prova di uno dei propri antivirus. Nel momento in cui gli specialisti di ESET hanno analizzato il feed, si sono resi conto che le informazioni reali e quelle provenienti da spam non solo non erano state classificate, ma contenevano una gran quantità di informazioni e dati personali riservati. Informazioni su carte di credito, documenti d’identità e simili. Come è stato possibile che questi contenuti reali fossero all’interno di un feed di spam?
La risposta è nei parked domain e negli sinkhole domain. Di base questi ultimi sono in uso ai servizi anti-DDos, alle forze dell’ordine e ai ricercatori per il monitoraggio di attività dannose poiché consentono di indirizzare il traffico di rete illecito in una sorta di vicolo cieco o in canali monitorati. I domini “parked” invece sono domini registrati, generalmente con scopi lontani dal legittimo, che hanno nomi apparentemente validi, come ad esempio my-bank-new-card[.]com, Oppure domini molto somiglianti ai siti originali, che spesso differiscono per una sola lettera, indicati come domini Typosquatted, come ad esempio oulook[.]com invece di outlook [.]com.
Il sistema utilizzato nelle truffe è spesso quello di inviare mail di phishing con URL apparentemente riconoscibili, mentre in altri casi la raccolta di e-mail/dati avviene a causa di errata digitazione degli indirizzi e-mail da parte degli utenti. Questo tipo di frode di solito è a breve periodo e parte con l’utilizzo di domini registrati per 12 mesi (il minimo previsto) e poi non più rinnovati. Questo rende l’intercettazione dei cybercriminali più difficile e consente alla scadenza, il riutilizzo del dominio, la creazione di un nuovo server di posta elettronica e l’avvio di una nuova raccolta di informazioni di utenti che erroneamente incappano in questi siti o attraverso il phishing o attraverso l’invio di e-mail a domini che erroneamente ritengono attendibili.
Chi poi rivende questi feed, raccoglie tutte le e-mail provenienti sia dai domini “parked” sia dai domini “sinkholed” e le passa sia agli addetti ai test di sicurezza sia agli sviluppatori. Ovviamente è impossibile evitare che un utente invii i propri dati sensibili all’indirizzo e-mail sbagliato e, a essere sinceri, non si può imputargli nemmeno la colpa di averli inviati, poiché ha agito in buona fede e convinto di aver spedito all’indirizzo esatto, non allarmato da alcun messaggio d’errore. Tuttavia, riteniamo che la vendita di feed di spam sia criticabile proprio perché non tutti i messaggi all’interno di questi feed sono spam.
Ma cos’è lo spam? La definizione comune è invio di mail di massa indesiderate solitamente di natura commerciale.
Ma questi messaggi non sono inviati sempre in massa, anzi. La maggior parte viene inviata a un indirizzo, al massimo due. Indesiderata sì, ma questo di per sé non costituisce spam, poiché chi risponde a questi messaggi li avalla, e ciò fa sì che non si possano considerare realmente indesiderati.
Al di là della questione tecnica, c’è però una questione etica e morale. I proprietari di questi domini parcheggiati di certo non hanno ottenuto un consenso consapevole all’utilizzo e alla vendita dei dati personali dei mittenti originali. Se questi feed includono messaggi provenienti da mittenti residenti in paesi dell’Unione Europea, sicuramente non rispettano i cardini della normativa sulla privacy di “legittimità, equità e trasparenza” e rappresentano quindi una violazione dei GDPR. Sarebbe anche interessante capire se siano conformi ad altri principi sul trattamento dei dati personali, come la limitazione dello scopo e dello spazio di archiviazione, nonché il rispetto delle politiche di privacy nella conservazione dei dati in essi inclusi.
Quando un laboratorio utilizza feed del genere per i propri test il problema diviene evidente. Gli analisti seri, ai fini della convalida, forniscono ai produttori del software testato i dati mancanti, con l’obiettivo di validarli. Gli sviluppatori del software ricevono, e quindi catalogano, lo spam che è sfuggito al controllo antivirus. A meno che non vi siano giustificati motivi consentiti dalla legge, qualsiasi attività diversa dall’eliminazione e notifica sia al tester che al fornitore del feed potrebbe comportare violazioni del GDPR, indipendentemente dalla posizione dell’archivio o della sede dello sviluppatore del prodotto.
Inoltre, queste anomalie, possono essere fonte di errori nel software antispam. Gli algoritmi di apprendimento automatico (ML) sono ampiamente utilizzati nei software antispam e l’aggiunta di messaggi legittimi al set spam probabilmente renderà meno accurate le classificazioni basate su ML di messaggi email inediti, mettendo così a rischio i clienti di questi prodotti. La memorizzazione di questo tipo di informazioni non è utile, anzi è dannosa.
Quando gli sviluppatori ESET hanno rilevato questa anomalia, hanno immediatamente rimosso dai propri database di spam tutti i campioni provenienti dal feed.
Poi hanno contattato il tester che ha correttamente rimosso il feed con il quale stava effettuando il test sul prodotto ESET. Il laboratorio in seguito all’analisi del feed ha deciso di scartarlo definitivamente. Anche il fornitore del feed è stato contattato. Ma al momento della pubblicazione di questo articolo non ha fornito alcuna risposta.
A parte i consigli di sicurezza, non c’è alcun rimedio, se non il buon senso, per prevenire perdite di dati di questo genere. Verificare l’indirizzo e-mail due volte, e poi magari due volte ancora, prima di inviare dati sensibili. Non solo per avere la certezza di non aver fatto un errore di battitura, ma anche per assicurarsi che l’indirizzo di posta elettronica cui si sta scrivendo sia ancora valido. Strumenti come 2FA, un gestore di password, e prodotti simili sono del tutto inutili in questo contesto, perché per quanto capaci di proteggere le nostre identità non possono proteggerci dall’invio di e-mail all’indirizzo sbagliato.