Il giardino del MaGo: E-mail e carne in scatola

Riprendiamo il discorso da dove l'avevamo lasciato quasi un mese fa ... un poco di ferie e qualche capriccio dell'ADSL mi hanno impedito di pubblicare nuovi post, ma conto di rifarmi.
Come in tutti i serial che si rispettino, iniziamo col riassunto delle puntate precedenti: stavamo parlando di spam. Ricordate? Lo spam, oltre a essere una famosa marca di carne in scatola, è una forma di unsolicited email (email non richiesta), che intasa le nostre caselle di posta elettronica con messaggi non desiderati, petulanti e, spesso, decisamente imbarazzanti. Le dimensioni del fenomeno sono imponenti, tanti che si calcola che una larga, anzi larghissima, parte del traffico postale su Internet sia costituita da messaggi di questo tipo, inviati usando spesso computer controllati dall'esterno grazie a virus appartenenti alla categoria dei trojan horse. La legislazione di certi Stati considera lo spam un reato punito con severità, tanto che appare emblematica la motivazione di una sentenza emessa, in un tribunale del Massachussets, dal giudice Reilly, che, al termine di un processo che vedeva coinvolti sette spammer, dichiarava: "La loro attività non era solamente noiosa ma metteva seriamente a rischio l'economia e la sicurezza dei cittadini". Ecco, eravamo arrivati a questo punto e da qui ripartiamo.

Lo spam è non solo fastidioso, ma veicolo di messaggi truffaldini: i milioni di lettere che diffondono le cosiddette “truffe nigeriane” (non sapete cosa sono? Ottimo, ecco un argomento per un prossimo post ... Comunque, sono messaggi nei quali qualche sedicente illustre personaggio ci propone di collaborare con lui nell'esportare fondi neri dal suo Paese, promettendoci in cambio ricchissime parcelle da milioni di dollari) cosa sono se non spam?
Un altro tipo di truffa sta prendendo piede: arriva una mail nella quale si annuncia che un titolo, che oggi in Borsa è quotato tot, tra cinque giorni vedrà moltiplicato il suo valore e quindi è il momento di comprare per poter realizzare un lauto guadagno a breve. L'incauto acquista e il titolo, effettivamente, sale di valore, secondo la legge della domanda e dell'offerta ... a un certo punto il crollo ... e le azioni appena acquistate tornano a valere zero.
Cos'è accaduto? Una cosa molto semplice: chi ha orchestrato la truffa ha venduto tutte le azioni in suo possesso, ha realizzato, lui sì, un guadagno lauto e ha lasciato gli incauti investitori con un pugno di mosche in mano. Ebbene, questa non è altro che la forma moderna ed elettronica dell'aggiotaggio, cioè di quel reato commesso da chi divulga notizie false o tendenziose per causare una variazione artificiosa dei prezzi di beni o valori, quotati in Borsa, allo scopo di trarne un illecito guadagno. Il fenomeno ha raggiunto una dimensione tale che la SEC (United States Securities and Exchange Commission), che altro non è che l'agenzia federale statunitense che si occupa di vigilare sui mercati finanziari (una Consob a stelle e strisce, insomma), negli scorsi mesi ha sospeso le quotazioni di borsa di 35 aziende che avrebbero messo in atto attività di spam con lo scopo di diffondere false notizie sul loro reale stato finanziario.
Secondo Secure Computing, e anche secondo chi scrive, che ha in casa un campione rappresentato dalle sue caselle di posta elettronica, circa un terzo dello spam in circolazione sarebbe di questo tipo.
Tra i tanti messaggi di questo tipo che ho ricevuto negli ultimi tempi, ve ne voglio mostrare uno che, a mio parere, è un piccolo capolavoro, e ve lo voglio pure “sceneggiare”.
La grafica è accattivante: stiamo parlando di un'azienda che produce energia e le pale eoliche che appaiono nel messaggio ci suggeriscono che si tratti di energia pulita, non inquinante, da fonti rinnovabili ... perbacco, in questi tempi di riscaldamento globale, di effetto serra prodotto dall'anidride carbonica, di protocollo di Kyoto, un'azienda siffatta è destinata a “magnifiche sorti e progressive”, per citare Leopardi. E già questo ci predispone bene ... ma leggiamo sotto ... mmmhhhh, il prezzo d'acquisto è invitante e guarda lì, poi ... un aumento previsto del 60% in due giorni ... e a cinque giorni? I titoli varranno tre volte quello che li ho pagati ...
I titoli sono quotati alla Borsa di Francoforte? E certo, c'è il codice WKN (che è il codice di sicurezza della borsa tedesca), ah! Guarda , pure il codice ISIN (il codice di sicurezza internazionale che identifica bond, warrant e altri strumenti finanziari) ... ma allora è una cosa seria ... un vero affare!!! comprare, comprare.
Noto, in maniera appena incidentale, che cercando sul web la sigla WKN i primi risultati che appaiono riguardano la WKN Windkraft Nord AG, azienda tedesca fondata nel 1990 e specializzata nella realizzazione di parchi eolici “chiavi in mano”, che, ovviamente, non c'entra nulla con la truffa, ma che, forse, ha ispirato l'idea dell'immagine delle pale eoliche ... chi può dire quali sono le idee di un social engineer?
Lo spam veicola, poi, anche altri messaggi: si possono acquistare farmaci, software a prezzi scontatissimi, materiale pornografico, lauree. Negli ultimi tempi sono di gran moda i messaggi pubblicitari dei casinò on line che promettono ricchi bonus a chi entra a giocare: siamo passati dai pochi spiccioli di qualche mese fa a oltre 500 euro di bonus: in pratica paghi 100 e giochi 200 ... un vero affare!
Naturalmente anche i messaggi che propongono l'acquisto di medicinali o altro sono truffaldini: i medicinali, nella migliore delle ipotesi, sono dei generici sui quali l'acquirente non ha nessuna garanzia ... potrebbe aver acquistato, che so, celebri pilloline azzurre che promettono mirabilie e trovarsi un pacchettino con pilloline sì azzurre, ma anonime e senza alcuna garanzia sul contenuto.
Lo spam, poi, è usato anche per veicolare i messaggi dei phisher, i “pescatori” di password: tutte le mail che arrivano nelle quali vi si informa che le poste hanno deciso di proporvi nuovi servizi, oppure che la vostra banca vi ha chiuso il conto perché sospetta che siate stati vittime di un furto di identità, e nelle quali vi si chiede di accedere ad un sito, digitando il vostro identificativo utente, la password, il numero di carta di credito e il numero di conto corrente sono spam.
Aveva quindi ben ragione il citato giudice Reilly a dire che lo spam è un'attività che attenta gravemente alla sicurezza dei cittadini e dell'economia: messaggi di questo tipo, infatti, possono essere truffe che intaccano i vostri risparmi, oppure possono farvi acquistare prodotti che, nel migliore dei casi sono inutili, se non nocivi alla salute, o ancora, possono essere il veicolo di un attacco virale che infetta il vostro computer con un worm o con un cavallo di Troia, per far sì che diventi uno zombie destinato ad alimentare il traffico di mail spammatorie.
La migliore delle ipotesi è quella delle cosiddette “catene di Sant'Antonio” che vi invitano a inviare decine di copie dello stesso messaggio a vostri amici (che, dopo che l'avranno ricevuto non saranno più tali) ... sempre di spam si tratta, anche se, in questo caso, l'unico danno che, forse, si produce è quello di intasare la rete con traffico inutile.
Fenomeno di dimensioni imponenti, dunque ... ma, sorprendentemente, orchestrato da un numero relativamente basso di criminali: secondo numerosi esperti di sicurezza si tratterebbe solo di poche centinaia di persone in tutto il mondo, organizzate in circa duecento gang ...
Il nostro viaggio nello spam non è finito: nei prossimi numeri vedremo quali sono i comportamenti a rischio, quelli, cioè, che forniscono agli spammer la materia prima sulla quale lavorare (indirizzi e-mail e computer attaccabili) e come possiamo difenderci da questo fenomeno che non è solo un fastidio, ma anche una reale minaccia.