Spamming da sbellicarsi dalle risate!

Sono stato testimone di un episodio di mailbombing, un attacco DDos in grande stile.

Guarda il caso proprio alla vigilia dell’entrata in vigore della GDPR ovvero il primo vero tentativo di regolamentazione e giro di vite rivolto alla protezione dei dati personali e, soprattutto, sensibili. L’Europa, tanto vituperata, è la prima a dotarsi di una normativa uniforme, applicata in tutti gli Stati dell’Unione: di fatto ha creato uno standard – operazione sempre assai complessa in materia di Rete e protezione dei dati – alla quale infatti altri Paesi stanno guardando con interesse.

L’obiettivo generale della GDPR è proteggere i diritti fondamentali in relazione al trattamento e facilitare il libero flusso di dati personali all’interno dell’Unione Europea.

Sarà capitato a tutti di ricevere posta indesiderata, ma in questo caso il volume di e-mail che il mio client di posta ha iniziato a vomitare sullo schermo è stato davvero impressionante. Ora capisco cosa vuole dire: “mailbombing”.  Prendetelo alla lettera.

Istantanea della mappa degli attacchi informatici nel mondo (fonte: Kaspersky Lab) ). L’Italia è al decimo posto tra le nazioni più attaccate alla data di oggi.

Il mailbombing è un tipo di attacco informatico che mira a intasare i server-vittima e, di conseguenza, compromettere l’attività dello stesso. Gli effetti variano dal rallentamento al blocco del server e, per gli utenti, difficoltà a navigare in rete o a utilizzare la posta elettronica. L’obiettivo del mailbombing è sottrarre dati personali, dati sensibili e limitare il funzionamento di un servizio; per tale motivo il mailbombing viene classificato tra gli attacchi di tipo “denial of service” (DoS). L’attacco DoS, infatti, punta a rendere irraggiungibile un sito o un server saturandone la banda di comunicazione.

Quando l’attacco, invece di puntare a un unico server o servizio web, è destinato a interi data center e reti di distribuzione, siamo di fronte a un attacco DDoS, che –  come lascia intendere il raddoppio della “d” – è un attacco DoS all’ennesima potenza.

Questa tipologia di attacchi, per la mole di risorse impiegate, banda occupata, computer coinvolti, è particolarmente letale poiché riesce a “neutralizzare” l’obiettivo nel giro di pochi secondi, causando danni che possono persistere nel tempo secondo la rapidità di chi risponde a tale offensiva.

Per tutta la durata del “bombardamento” sono stato molto rallentato nella gestione delle e-mail “vere”, con il rischio di cestinarle insieme a quelle tarocche. All’inizio mi è sembrata “ordinaria amministrazione”. Mi sono reso contro delle dimensioni dell’attacco nel brevissimo lasso di tempo necessario per premere Shift+seleziona+Canc: ho appena cancellato in massa il primo blocco di e-mail arrivate e ne sono state recapitate almeno il doppio ed altre ancora. Era un flusso a getto continuo.

Il motivo per cui non sono riuscito a trattenermi dallo scrivere (e sai quale novità!) è perché mi sono letteralmente sbellicato dalle risate a leggere le reazione degli utenti, che in principio non hanno compreso di cosa si trattasse e, quando hanno realizzato, si sono rivelati degli irresistibili comici a loro insaputa.

Non sono un esperto e non lavoro nell’ I.T, ma  vi assicuro che non era necessaria una scienza infusa o una specializzazione estrema per capire cosa stesse accadendo al server di posta e come comportarsi. Si poteva gestire efficacemente la situazione solo con con un po’ di buon senso, curiosità di apprendere e consapevolezza del medium.

Moltissimi utenti destinatari del mailbombing, invece, hanno reagito in un modo tragico dal punto vista della cultura informatica e consapevolezza dello strumento che utilizzano tutti i giorni nel lavoro e nel tempo libero.

Se questi sono gli utenti medi, più che avere bisogno di una General Data Protection Regulation, la Rete dovrebbe essere “protetta” da questi utenti.

Di seguito alcune e-mail, chiaramente con gli indirizzi fittizi, ma il testo è la fedele cronaca tragi-comica dello stato dell’utenza della Rete.

Da: utente Tizio
A: utente Caio
Oggetto: Re: *****SPAM*****Invio Documenti

Gentile cliente,
I nostri sistemi automatici hanno identificato l’e-mail allegata come SPAM.

Per tutelare la sicurezza del tuo account, abbiamo provveduto ad imbustare ed allegare il messaggio originale eliminando eventuali allegati presenti che, qualora aperti, potrebbero risultare rischiosi.

Ti consigliamo inoltre di non cliccare sui link presenti nel messaggio a meno che tu non lo ritenga attendibile.

Nel caso in cui l’email segnalata non sia SPAM e tu desideri ricevere la comunicazione sulla tua casella, puoi inserire il mittente all’interno della White List e richiedere al mittente un nuovo invio.

Per impostare regole relative alla White List dovrai:

• Accedere alla Webmail
• Selezionare le voci “Opzioni” – “Antispam” nel menu a sinistra
• All’interno della sezione “White list” inserire il mittente da considerare attendibile.

Cordiali saluti

[Segue anche testo tradotto in inglese che ometto]

L’utente Caio risponde e a Tizio.

Rispondere ai messaggi di posta indesiderati è una pessima idea perché confermi allo spammer di “essere in vita” e poi non puoi lamentarti se ti scrivono dalla Nigeria per proporti un fantastiliardo di euro se li aiuti a dirimere delle cavillose questioni burocratiche oppure ti scrive la signorina che ti ricorda quanto sei sovrappeso, offrendoti dei prodotti dimagranti miracolosi. Questo quando ti va bene: per non parlare di quando millantano di conoscere le (modeste) dimensioni del tuo membro o le tue (ridotte) capacità di “resistenza” nell’atto sessuale.

Rispondere allo spammer ha anche l’effetto di rinforzare il mailbombing. Tutti gli utenti-vittime, che sono in copia nascosta, ricevono il seguente messaggio:

Da: utente Caio
A: utente Tizio
Oggetto: Re: *****SPAM*****Invio Documenti

Buongiorno, cortesemente dovreste mandare di nuovo l’allegato….
Grazie
Cordiali Saluti

Qui inizia il delirio. Si inserisce un altro utente e risponde:

Nn so chi voi siate

Poi un altro da un ufficio amministrativo aziendale (gli account sono rivelatori):

Ma soprattutto perché ci mettete in cc nascosta?

Domanda totalmente inutile da rivolgere a uno spammer, figuriamoci quanto possa interessare a tutto il resto delle vittime, che – obtorto collo – ne devono prendere atto. Qui mancano le basi. Se lo spiego ai miei figli di quasi sette anni, posso scommettere il rene destro che non si sognerebbero di rispondere così.

Si aggiunge un utente, una donna, che si firma come professionista forense. Evviva! Arriva la cavalleria a difesa dei diritti della privacy!

Da: utente Principessa del Foro
A: utente Tizio

Sono l’Avvocato XYZ ,

state inopinatamente riempendo [NdA: notare il refuso] la mia mail di messaggi a me sconosciuti.

Cancellate il mio indirizzo e rammentate le norme sulla privacy per cui vi segnalerò ove la turbativa non cessi immediatamente
Non vi conosco e non ho idea di chi vi abbia fornito il mio contatto.

Vi pregherei di cancellare il mio indirizzo dalla Vostra mailing list.
Grazie

[Firmato Studio legale XYZ]

Andiamo bene! La Principessa del Foro –  niente volgarità, per cortesia. Non è intenzionale, ma solo frutto di una consecutio di parole in rispetto del genus e dell’ambito professionale – interviene ostentando un certo stile in verità dall’italiano crocifisso e a tratti aulicamente pomposo. Non sarà mica uno spammer anche lei?! Di solito ti accorgi subito dello spammer dal suo italiano talmente storpiato che anche Google Translator te lo risputerebbe indietro come “lingua non riconosciuta” e Siri ti risponderebbe con tono rassegnato: “Mi spiace. Non posso proprio aiutarti.”.

Inizio a non cancellare a mazzetti le e-mail e, grazie all’anteprima automatica, ci butto un occhio dentro prima di lanciarli nell’oblio digitale del mio cestino, anche perché il rischio di gettare un’e-mail importante è diventato elevato: il flood – come lo si chiama in gergo – è ormai un fiume in piena che ha rotto gli argini.

Da un utente di un’amministrazione comunale giunge una voce di buon senso, anche se, rispondendo, fa il gioco degli spammer. Va premiato però il suo tentativo di rassicurazione degli altri utenti ormai in balia di una spirale di messaggi confusionari e sventolamenti di diritti di cui hanno sentito dire da parte del cugino che lo aveva condiviso su FaceBook.

Da: utente Comunale
A: utente Tizio (ma a questo punto avete capito che non è solo Tizio a ricevere la risposta ma tutti gli utenti vittime del mailbombing)

Si tratta di spam.

Nelle buone intenzioni del mittente il messaggio avrebbe dovuto avere l’effetto della Rivelazione del Quarto Segreto di Fatima, se non addirittura causare lo squarcio del velo del Tempio di Gerusalemme per la seconda volta nella storia dell’Umanità. La prima volta accadde quando morì Gesù.

Ahimè tale lodevole tentativo di evitare la proliferazione di risposte viene immediatamente vanificato da una donna impiegata in un’azienda, che – leggo sul sito istituzionale – si dichiara “leader italiano nell’Information Technology”. Quando leggerete la risposta penserete a un classico caso di ironia della sorte oppure a un Ufficio Risorse Umane che deve selezionare meglio il personale.

Da: utente Azienda leader dell’I.T.
A: utente Tizio (e resto del mondo spammato)

E BASTAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

Tutto in lettere maiuscole. Evviva la Netiquette!

Ormai è un’alternanza di evidente spam e utenti deliranti, altri ignari o, meglio, ignavi dell’informatica (e temo anche in altri ambiti) si aggiungono e rispondono, sbuffano, protestano.

Giunge un altro messaggio. L’utente che lo invia deve essere uno di quelli smaliziati, “uno che ne capisce”. ‘Assa fà a Maronna!  Ci voleva proprio qualcuno esperto per fare chiarezza e indicare la retta via.

Deduco l’esperienza di tale utente dal dominio della sua posta elettronica: utilizza, infatti, un noto servizio di posta elettronica che offre la possibilità di inviare e ricevere e-mail senza la necessità di registrarsi; l’indirizzo e-mail viene assegnato automaticamente in modo casuale ed è emesso a ogni visita; ogni messaggio viene conservato per un’ora prima di essere cancellato. Questo servizio è utile quando non si vuole fornire il proprio indirizzo e-mail per registrarsi in un sito oppure per evitare potenziali spam. Dai che questa è la volta buona!

L’utente Esperto  scrive:

Da: utente Esperto
A: utente Tizio (e resto del mondo spammato)

NON RISPONDETE A QUESTA EMAIL: [omissis utente tizio] PERCHE? ALTRIMENTI ARRIVA A TUTTI E NON SI FERMA IL FLOOD DI EMAIL, E’ TANTO DIFFICILE DA CAPIRE?

p.s. HO INVIATO A QUESTA EMAIL AFFINCHE’ TUTTI POSSIATE CAPIRE…..

Anche l’utente Esperto si fa un baffo della Netiquette – e dire che dovrebbe conoscerla – e spara a tutti il suo sbraito in lettere maiuscole, un punto interrogativo piantato a caso, parole senza accento, il solo  “p.s.” in minuscolo (vai a capire il perché, ma nel farlo potrei morire pazzo), un congiuntivo azzeccato – Dio esiste! –  e infine un numero di puntini di sospensione multiplo di tre. Il suo “Post Scriptum” è un capolavoro di altruismo. E poi non dite che la Rete è pericolosa e ci gira gente poco raccomandabile.

La miccia dei mail bomber è ormai accesa da un pezzo e nessun novello Pietro Micca digitale è riuscito a interromperne la sua ardente corsa fino alla detonazione finale.

L’utente Principessa del Foro rispunta con un messaggio perentorio: una minaccia formale e circostanziata.

Gentilissimi

Non ho inviato alcuna email.

Provvederò alle denunce del caso, vi chiedo quindi di farmi sapere se qualcuno, utilizzando illecitamente i miei dati personali, sta cercando di effettuare operazioni economiche.

Se non riceverò risposta entro 48 ore provvederò a una denuncia anche nei vostri confronti.

Cordiali saluti

Alla faccia dei “gentilissimi” in apertura e dei “cordiali saluti” in chiusura! In quanto a “buona educazione” ci siamo almeno, il testo indica che la misura è colma e una risoluta volontà di fargli pagare il fio di tanto disturbo: entro un termine tassativo di “quarantotto ore”. E perché non immediatamente senza attendere?

Il Garante della Privacy lo prevede espressamente al punto 6 di Spamming. Regole per un corretto uso dei sistemi automatizzati e l’invio di comunicazioni elettroniche – 29 maggio 2003 [29840]:

“Anche ai fini dell’esercizio di tali diritti, deve ritenersi che l’invio anonimo di messaggi pubblicitari senza l’indicazione di un mittente identificabile concreti già oggi un trattamento illecito di dati personali, a prescindere da quanto dispone il citato d.lg. n. 70/2003 sul commercio elettronico (come si è visto, fuori della materia della protezione dei dati personali) e da quanto, in riferimento ai dati personali, sarà previsto con il recepimento della direttiva n. 2002/58/CE (la quale non consente l’invio di messaggi pubblicitari quando l’identità del mittente viene camuffata o addirittura celata e quando non viene fornito un indirizzo valido che consenta al destinatario di richiedere la cessazione delle comunicazioni: art. 13, par. 4, dir. cit.)”.

Ma il migliore di tutti, l’utente che ha interpretato in modo più efficace e stringato tutta la faccenda, addivenendo a una, univoca, inattaccabile, incrollabile sicurezza e conclusione è un utente con dominio Hotmail, una donna a giudicare dal nome dell’account di età intorno alla quarantina (se nell’account inserisci l’anno mi stai già fornendo un dato personale).

La conclusione è tombale:

Da:  Utente Hotmail
A: utente Tizio (e resto del mondo spammato)

Avete rotto er cazzo

Inviato da iPhone

E adesso so che sei de’Roma e hai anche un telefono Apple.

Comunque vada, la GDPR sarà un disastro.