LA GUIDA PRATICA

Tracking pixel, il tracciamento nei contenuti che la cyber security dimentica: cosa sono e come difendersi

Tra le tecniche che le aziende possono utilizzare per raccogliere informazioni sulle nostre attività online o per monitorarci quando leggiamo le loro e-mail o accediamo ai rispettivi siti Web ci sono i tracking pixel. Ecco di cosa si tratta, come funzionano e come difendersi

12 Mag 2022
N
Ricardo Nardini

IT System Specialist

I tracking pixel (conosciuti anche come spy pixel o pixel di tracciamento) sono una serie di tecniche che alcune aziende hanno a disposizione per raccogliere informazioni sulla nostra attività quando accediamo alle loro e-mail e ai loro siti Web. Questi possono essere le loro newsletter, le loro e-mail promozionali, o per esempio le immagini incluse nelle firme in calce dei messaggi.

Fondamentalmente le aziende che tracciano, monitorano il nostro comportamento attraverso l’inserimento di un “pixel invisibile”, tenendo traccia di quanto tempo abbiamo passato a leggere la posta, quando l’abbiamo aperta, su quale dispositivo l’abbiamo letta e possono anche rilevare la nostra posizione e indirizzo IP. Cerchiamo di capire assieme la tematica.

Tracciamento per marketing digitale: come avviene e avverrà con i dati di prima parte

Tracciamento online, un argomento tralasciato in cyber security

Se utilizzato correttamente, il monitoraggio dei pixel può essere un prezioso strumento di marketing digitale. Sfortunatamente, mani poco etiche di esperti di marketing sanno come condurre il monitoraggio dei pixel e talvolta questa tecnica viene utilizzata in modo silente e invasivo al punto di recare danni talvolta anche ai propri clienti, facendo scivolare il loro brand in polemiche inerenti di marketing scorretto.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Prima di capire insieme cosa significa tracciare un pixel, dobbiamo prima definire i pixel. Cos’è un pixel? In poche parole, un pixel è un grafico 1 x 1 nascosto all’interno di pagine Web o e-mail. Il pixel viene caricato quando un utente apre un’e-mail o accede a una pagina Web.

Poiché questi pixel sono in genere trasparenti o colorati per fondersi bene con lo sfondo, sono sempre ben nascosti all’interno dei contenuti visivi e questo è il punto della questione. I pixel non sono progettati per essere visti; invece, sono intenzionalmente incorporati e mimetizzati e successivamente utilizzati per scopi di marketing digitale talvolta poco trasparenti. Un altro nome erroneo che viene dato a questi strumenti è “tag pixel” ma è un errore in quanto il tag è l’alloggio del pixel e non il pixel vero e proprio.

In sé, fare uso dei tracking pixel è semplicemente l’atto di utilizzare i pixel per raccogliere i dati degli utenti come il loro comportamento e le loro attività. Nel marketing digitale, se fatto in modo etico, il monitoraggio dei pixel è uno strumento utilizzato per comprendere gli utenti e inviare annunci pertinenti. Per gli sviluppatori di siti Web, d’altra parte, questa comprensione del comportamento e del pensiero degli utenti consente loro di rendere le pagine più confortevoli.

Pixel di tracciamento, dove vengono ubicati e le differenze

Quelli più recentemente e frequentemente utilizzati sono i pixel di tracciamento Javascript. Proprio come altri pixel di tracciamento chiamati HTML, i Javascript di solito sono posizionati appena sopra il </body> tag di un documento; infatti, a causa del modo in cui i browser eseguono Javascript, non c’è alcun motivo di nasconderli con CSS poiché lo script non deve essere visualizzato nella vista.

I pixel di tracciamento Javascript sono il metodo preferito perché consentono ai professionisti del marketing di tracciare molte altre azioni del visitatore note come tracciamento degli eventi.

Non tutti i dispositivi possono eseguire il rendering o avere Javascript abilitato; tuttavia, è sempre una buona idea utilizzare ancora un pixel di tracciamento HTML come opzione di backup.

Ecco un esempio di come potrebbe apparire un pixel di tracciamento Javascript:

<script type=”text/javascript” src=”tracking.js”></script>

Un’altra tipologia di pixel di tracciamento consiste nell’inserire codice eseguibile all’interno dei pochi byte dell’immagine in modo che faccia solo un “reverse connect” dal browser dell’utente verso il server di riferimento del pixel.

In questo modo si aprirà un collegamento dal quale poter esplorare i settaggi del client dell’utente finale.

I pixel di tracciamento HTML sono meno efficaci degli anteriori in quanto aprono solo collegamenti verso l’esterno ma si occultano molto meglio, in quanto nella sorgente pagina non è visibile alcun Tag Javascript.

Un altro vantaggio dei pixel di tracciamento HTML è quello di funzionare anche quando l’utente disabilita l’esecuzione del Javascript nella visualizzazione di pagine esterne o non affidabili.

Un altro tipo di tracciamento sempre incluso nella categoria di pixel di tracciamento anche se non lo sono, è il codice nascosto all’interno delle icone rappresentative del sito per il browser, le immagini cosi chiamate ‘favicon.ico’.

Ora che ci siamo fatti un idea di base di cosa siano questi strumenti, andiamo a vedere cosa succede nel back end. Come funziona questo sistema? Per utilizzare i pixel di tracciamento, bisogna allegare il pixel alla email o al sito web utilizzando un codice HTML. Questo codice HTML dovrebbe contenere un collegamento al server del pixel.

Una volta che un utente visita la pagina web, il suo browser carica il codice HTML e segue il collegamento esterno, per dirla in termini di cybersecurity, si produce come detto sopra un collegamento in reverse, quindi il browser connette il server della pagina contenente il tracking pixel.

Questo, quindi, si attiva dalla grafica nascosta e registra l’azione all’interno dei file di registro del server. Per chi sta nella parte back end, questo significa acquisire un’ampia gamma di informazioni sull’utente.

Come lavorano i tracking pixel e quali dati sondano

Per entrare subito nel merito, questi sono solo alcuni dei tipi di dati che possono recuperarsi dall’utenza per essere successivamente rielaborati:

  1. il tipo di sistema operativo utilizzato dall’utente, sia da dispositivo fisso che mobile;
  2. il client utilizzato dall’utente (browser o programma di posta, o altro);
  3. il tipo di dispositivo utilizzato dall’utente (desktop o mobile);
  4. risoluzione dello schermo dell’utente, e se il browser è a finestra aperta o semichiusa;
  5. l’orario della visita o apertura dell’e-mail o l’ora di visita del sito Web;
  6. attività svolte durante la sessione;
  7. indirizzo IP con conseguente posizionamento dell’indirizzo.

Si potrebbe pensare che i cookie facciano di fatto la stessa cosa dei pixel di tracciamento. In parte si, ma solo ad un certo livello, poiché sia i pixel di tracciamento che i cookie vengono utilizzati per tracciare le attività e i comportamenti degli utenti ma dal punto di vista della cyber security i pixel traccianti sono più invasivi, si pensi che non scadono e sono sempre lì a ogni “refresh”.

Analizziamo assieme qualche differenza. La principale distinzione tra cookie e pixel di tracciamento è il modo in cui forniscono e dove conservano i dati.

I cookie salvano informazioni nel browser di un utente, il che significa che non hanno la capacità di inseguire gli utenti da un dispositivo all’altro, quanto meno per ora che il web è centralizzato, quando arriveremmo invece al Web3 sarà diverso.

Gli utenti possono anche scegliere di bloccare o cancellare i propri cookie, rendendoli sostanzialmente inutili, viceversa come scritto prima, il pixel è li, sempre pronto ad oggi richiamo della pagina o lettura della mail.

Non esiste un metodo unico e onnicomprensivo per creare e inserire un Tag per pixel di tracciamento. In genere si può installare un tag per pixel di tracciamento utilizzando il proprio sistema di gestione dei contenuti. Quindi si possono inserire direttamente nel codice sorgente della pagina, la stessa cosa vale per gli utenti di posta elettronica.

Ecco alcuni esempi di come potrebbe apparire un tag per pixel di tracciamento HTML all’interno del codice sorgente:

<img src=”Tracking” width=”0″ height=”0″>

<img style=”display: none”; src=”Tracking”>

<img style=”position: absolute”; src=”Tracking”>

Molti esperti di marketing e sviluppatori utilizzano anche questi tag con l’aiuto di Google. Il monitoraggio dei pixel attraverso Google aiuta a monitorare le impressioni e ad adattare la strategia in base ai dati raccolti. Si può utilizzare i pixel per singoli articoli o per intere pubblicazioni. Il Centro assistenza di Google offre istruzioni dettagliate su come utilizzare questi strumenti.

Ci sono analisi pubblicati in internet che quantificano per aziende conosciute, quanta intrusività applicano sia con i cookies che con i pixel. Sempre tra le Top 5 si trovano ovviamente Google e Facebook, per la precisione entrambi questi colossi utilizzano questi strumenti per marketing di annunci puro e come sistema di comprensione di “a chi, dove e quando” impattare con una determinata pubblicità.

Sebbene i tracking pixel presentino ovviamente numerosi vantaggi, molti hanno criticato il loro ruolo nella privacy dei dati. Poiché i pixel raccolgono dati approfonditi dell’utente in genere a loro insaputa, sono stati presentati reclami relativi alla protezione dei dati. I critici hanno affermato che l’uso dei pixel viola la privacy dell’utente poiché avviene senza il consenso dell’utente.

In Europa, con il GDPR, già da tempo si cerca di analizzare quanto i pixel di tracciamento violino la privacy e il fallimento di questi studi risiede sul fatto che queste aziende continuano persistentemente a cambiare strategia di sondaggio, quindi arrivati al punto non sono attaccabili legalmente.

Gli spammer amano usare i pixel di tracciamento. Allegano i pixel alle e-mail di spam con l’obiettivo di determinare se un indirizzo e-mail è funzionante o meno. Una volta che un utente apre l’e-mail di spam con il pixel allegato, avvisa lo spammer che l’indirizzo e-mail è attivo. Questo porta quindi lo spammer a inviare più posta di spam all’utente.

Banalmente, si può suggerire di tenere sempre disattivata la visualizzazione delle immagini, e abilitarla all’occorrenza. Questo comportamento eviterà l’incremento massivo di spam o di pubblicità selvaggia.

Il nuovo Web3: cos’è, come funziona e le implicazioni di cyber security

Vantaggi e svantaggi per chi usa i tracking pixel

Facciamo un’analisi su quali sono i vantaggi che questi strumenti ci possono proporzionare utilizzandoli in modo etico. Quasi ogni marketer, webmaster e imprenditore utilizza oggi una sorta di pixel di tracciamento. Indipendentemente dal fatto che si stia semplicemente monitorando i visitatori Web con uno strumento come Google Analytics o un monitoraggio più avanzato con l’intento di creare profili di pubblico e utilizzare il “retargeting comportamentale”, è necessario l’uso di un pixel di monitoraggio.

I pixel di tracciamento offrono agli esperti di marketing informazioni precise sulle azioni che i visitatori stanno intraprendendo da varie fonti di traffico web. Ciò consente al marketer di ottimizzare le proprie e-mail, siti Web e campagne di marketing per servire meglio i propri visitatori e aumentare le entrate dal traffico web. Essere in grado di identificare le informazioni sui visitatori web consente un migliore “targeting” degli annunci, esperienze web personalizzate consigliando prodotti, servizi e contenuti che si adattano meglio agli interessi del visitatore.

Per enumerare alcune:

  1. un’esperienza web personalizzata in base al visitatore (prodotti, servizi e contenuti);
  2. un migliore “targeting” degli annunci per aumentare la visibilità e l’utilità degli annunci;
  3. esperienza utente complessivamente migliore quando vengono apportati miglioramenti in base ai dati, con miglior confort di visualizzazione personalizzato;
  4. consente test di massa e ottimizzazioni con i dati raccolti nelle navigazioni.

Nel complesso, senza i pixel di tracciamento, Internet non sarebbe quello che è oggi, ecco spiegata la Web2. La raccolta dei dati consente ai responsabili delle decisioni di adattarsi al meglio al proprio pubblico migliorando la propria esperienza web. I pixel di tracciamento sono uno dei motivi principali per cui il Web è uno strumento così potente come lo è oggi.

D’altra parte vediamo quali sono gli svantaggi. A causa dell’obiettivo di un pixel di tracciamento, i visitatori spesso non sono consapevoli che un pixel di tracciamento è in uso sul contenuto che stanno visitando. Ciò è dovuto alla mancanza di un indicatore visivo dell’utilizzo di un pixel di tracciamento. Le autorità di regolamentazione stanno tentando di aiutare ad informare i visitatori dei dati raccolti su di loro mentre visitano un sito web. Il GDPR all’interno dell’Unione Europea è lo sforzo di regolamentazione attualmente più noto per aiutare a informare il pubblico sui pixel di tracciamento e altri sistemi paralleli, leggi simili sono state votate in vari stati degli Stati Uniti. È probabile che questa tendenza continui poiché una maggiore protesta pubblica sulla raccolta di dati esercita pressioni di ogni tipo sui responsabili politici che potrebbero agire per proteggerci.

Talvolta i contenuti personalizzati possono innervosire i visitatori in quanto potrebbero non essere consapevoli del fatto che sono stati raccolti così tanti dati su di loro. Anche se raro, capita di vedere usare troppa personalizzazione nel testo pubblicitario e avere un impatto negativo sulle campagne di marketing.

I pixel di tracciamento possono anche aumentare la larghezza di banda delle attività web dei visitatori. I dati raccolti devono essere trasferiti da e verso il dispositivo del visitatore, aumentando sia i tempi di caricamento che l’utilizzo dei dati. Ciò potrebbe causare problemi ai visitatori Web con piani dati limitati o funzionalità Internet lente, con un impatto negativo.

  • I visitatori spesso non sono a conoscenza dei dati raccolti, nella fattispecie le quantità
  • I problemi di privacy e le normative come il GDPR rendono meno efficace questi strumenti
  • Troppa personalizzazione può scoraggiare i visitatori
  • Maggiore larghezza di banda richiesta e tempi di caricamento proporzionali
  • Aumenta l’utilizzo dei dati per tutto il traffico web

Come difendersi dai tracking pixel e quali contromisure

Esistono diversi modi in cui gli utenti possono impedire che i propri dati vengano raccolti tramite i tracking pixel:

  1. agire attraverso le impostazioni del browser e dell’e-mail in modo che siano il più restrittive possibile, in modo tale che la grafica esterna sia supportata solo dopo l’autorizzazione o in estremo che le e-mail HTML non siano supportate. A tale scopo è anche possibile utilizzare impostazioni del firewall appropriate;
  2. navigazione anonima con i Tor Browsers, con TAILS, con il neonato Predator-OS in modalità anonimato o utilizzando server proxy per impedire il download di pixel di tracciamento (ma questi software non è sempre consentito utilizzarli all’interno delle aziende);
  3. per impedire la raccolta di dati utente aggiuntivi come il tipo di browser o il sistema operativo, è possibile disattivare il supporto degli script nel browser. Tuttavia, ciò può limitare altre funzioni su Internet in determinate circostanze;
  4. alcune estensioni dei browser possono essere utilizzate per rendere visibili i pixel di tracciamento.

Come configurare il client e-mail per difendersi

Alcuni client di posta elettronica sono dotati di sistemi di rilevamento di tracking pixel come Protonmail. Nonostante ciò questo client di posta non ci da molti dettagli su dove e come questi pixel sono stati rilevati, ma ci presenta un sommario di quanti pixel ha rilevato e quante connessioni sono state impedite.

In Gmail possiamo trovare l’opzione Chiedi prima di mostrare immagini esterne nella scheda Generale delle Impostazioni.

In Outlook, invece, possiamo disattivare la funzione all’interno delle impostazioni Privacy e dati della scheda Generale, spuntando l’opzione Utilizza sempre il servizio Outlook per caricare le immagini.

In Apple Mail, possiamo deselezionare l’opzione Carica contenuto remoto nei messaggi, all’interno della scheda Visualizza.

La miglior difesa che si può attuare e quella di meditare prima di premere qualsiasi pulsante per accettare. Ovviamente l’utente medio per disfarsene in fretta del popup comparso e poter leggere la notizia di turno, accetta senza condizioni e quindi rimane esposto a questo tipo di strumenti,

La cyber security personale e della meditazione prima di agire, è sempre quella migliore quando parliamo di privacy. Non serve a molto contare con un potente GDPR se successivamente si accetta ogni vulnerabilità esposta e proposta.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 2