DATA PROTECTION

Sottrazione di dati personali, la frode dei feed di spam: di cosa si tratta e come difendersi

Anche i software antispam, come gli antivirus, vengono sottoposti a test comparativi basati su feed di dati raccolti con tecniche simili a quelle dello spam. È stata però scoperta una frode che consiste nel raccogliere dati reali con tecniche malevoli e in evidente violazione del GDPR. Ecco come funziona e come difendersi

12 Giu 2020
Z
Righard Zwienenberg

Content Writer, ESET Security Community

Lo spam è un problema con cui tutti si scontrano prima o poi: gli spammer, infatti, sono alla ricerca continua di nuovi modi per diffondere spam, bypassando i filtri. Fino ad oggi è sempre stato un continuo rincorrersi tra team di cyber security e spammers e purtroppo, sebbene esistano ottime soluzioni antispam, di volta in volta anche le migliori vengono bypassate e i software richiedono aggiornamenti continui per garantire protezione dalle tecniche più aggressive.

La frode dei feed di spam: di cosa si tratta

Così come le soluzioni antimalware, anche i software antispam sono inclusi nei test comparativi condotti da diversi tester indipendenti ampiamente riconosciuti. Quello dei test è un affare redditizio per le organizzazioni che li effettuano e molto costoso per i produttori di software antivirus presi in analisi, ed è quindi ovvio che gli sviluppatori di software antivirus mirino a ottenere i risultati migliori.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Questo genera un nuovo modello di marketing: la vendita di feed di dati frutto di tecniche di spam sia ai tester sia agli sviluppatori. Si potrebbe dedurre che gli sviluppatori di antispam disposti ad acquistare questo tipo di feed ne trarranno un vantaggio in modo sleale, ma non è questo il tema.

Di recente i ricercatori di ESET hanno rilevato un tester di antivirus che aveva utilizzato un feed di spam per realizzare la prova di uno dei propri antivirus. Nel momento in cui gli specialisti di ESET hanno analizzato il feed, si sono resi conto che le informazioni reali e quelle provenienti da spam non solo non erano state classificate, ma contenevano una gran quantità di informazioni e dati personali riservati. Informazioni su carte di credito, documenti d’identità e simili. Come è stato possibile che questi contenuti reali fossero all’interno di un feed di spam?

La risposta è nei parked domain e negli sinkhole domain. Di base questi ultimi sono in uso ai servizi che contrastano gli attacchi DDoS, alle forze dell’ordine e ai ricercatori per il monitoraggio di attività dannose poiché consentono di indirizzare il traffico di rete illecito in una sorta di vicolo cieco o in canali monitorati.

I domini “parked” invece sono domini registrati, generalmente con scopi lontani dal legittimo, che hanno nomi apparentemente validi, come ad esempio my-bank-new-card[.]com, Oppure domini molto somiglianti ai siti originali, che spesso differiscono per una sola lettera, indicati come domini Typosquatted, come ad esempio oulook[.]com invece di outlook [.]com.

La frode dei feed di spam: come funziona

Il sistema utilizzato nelle truffe è spesso quello di inviare mail di phishing con URL apparentemente riconoscibili, mentre in altri casi la raccolta di e-mail/dati avviene a causa di errata digitazione degli indirizzi e-mail da parte degli utenti.

Questo tipo di frode di solito è a breve periodo e parte con l’utilizzo di domini registrati per 12 mesi (il minimo previsto) e poi non più rinnovati. Questo rende l’intercettazione dei cyber criminali più difficile e consente, alla scadenza, il riutilizzo del dominio, la creazione di un nuovo server di posta elettronica e l’avvio di una nuova raccolta di informazioni di utenti che erroneamente incappano in questi siti o attraverso il phishing o attraverso l’invio di e-mail a domini che erroneamente ritengono attendibili.

Chi poi rivende questi feed, raccoglie tutte le e-mail provenienti sia dai domini “parked” sia dai domini “sinkholed” e le passa sia agli addetti ai test di sicurezza sia agli sviluppatori. Ovviamente è impossibile evitare che un utente invii i propri dati sensibili all’indirizzo e-mail sbagliato e, a essere sinceri, non si può imputargli nemmeno la colpa di averli inviati, poiché ha agito in buona fede e convinto di aver spedito all’indirizzo esatto, non allarmato da alcun messaggio d’errore. Tuttavia, riteniamo che la vendita di feed di spam sia criticabile proprio perché non tutti i messaggi all’interno di questi feed sono spam.

I feed di spam e il rischio di violazioni del GDPR

Ma cos’è lo spam? La definizione comune è invio di mail di massa indesiderate solitamente di natura commerciale.

Ma questi messaggi non sono inviati sempre in massa, anzi. La maggior parte viene inviata a un indirizzo, al massimo due. Indesiderata sì, ma questo di per sé non costituisce spam, poiché chi risponde a questi messaggi li avalla, e ciò fa sì che non si possano considerare realmente indesiderati.

Al di là della questione tecnica, c’è però una questione etica e morale. I proprietari di questi domini parcheggiati di certo non hanno ottenuto un consenso consapevole all’utilizzo e alla vendita dei dati personali dei mittenti originali.

Se questi feed includono messaggi provenienti da mittenti residenti in paesi dell’Unione Europea, sicuramente non rispettano i cardini della normativa sulla privacy di “legittimità, equità e trasparenza” e rappresentano quindi una violazione del GDPR.

Sarebbe anche interessante capire se siano conformi ad altri principi sul trattamento dei dati personali, come la limitazione dello scopo e dello spazio di archiviazione, nonché il rispetto delle politiche di privacy nella conservazione dei dati in essi inclusi.

Quando un laboratorio utilizza feed del genere per i propri test il problema diviene evidente. Gli analisti seri, ai fini della convalida, forniscono ai produttori del software testato i dati mancanti, con l’obiettivo di validarli. Gli sviluppatori del software ricevono, e quindi catalogano, lo spam che è sfuggito al controllo antivirus. A meno che non vi siano giustificati motivi consentiti dalla legge, qualsiasi attività diversa dall’eliminazione e notifica sia al tester che al fornitore del feed potrebbe comportare violazioni del GDPR, indipendentemente dalla posizione dell’archivio o della sede dello sviluppatore del prodotto.

Inoltre, queste anomalie possono essere fonte di errori nel software antispam. Gli algoritmi di apprendimento automatico (Machine Learning) sono ampiamente utilizzati nei software antispam e l’aggiunta di messaggi legittimi al set spam probabilmente renderà meno accurate le classificazioni basate su Machine Learning di messaggi e-mail inediti, mettendo così a rischio i clienti di questi prodotti. La memorizzazione di questo tipo di informazioni non è utile, anzi è dannosa.

Quando gli sviluppatori ESET hanno rilevato questa anomalia, hanno immediatamente rimosso dai propri database di spam tutti i campioni provenienti dal feed.

Poi hanno contattato il tester che ha correttamente rimosso il feed con il quale stava effettuando il test sul prodotto ESET. Il laboratorio in seguito all’analisi del feed ha deciso di scartarlo definitivamente. Anche il fornitore del feed è stato contattato. Ma al momento della pubblicazione di questo articolo non ha fornito alcuna risposta.

Come difendersi da questa truffa

A parte i consigli di sicurezza, non c’è alcun rimedio, se non il buon senso, per prevenire perdite di dati di questo genere.

Verificare l’indirizzo e-mail due volte, e poi magari due volte ancora, prima di inviare dati sensibili. Non solo per avere la certezza di non aver fatto un errore di battitura, ma anche per assicurarsi che l’indirizzo di posta elettronica cui si sta scrivendo sia ancora valido.

Strumenti come la doppia autenticazione (2FA, Two Factor Authenticator), un gestore di password, e prodotti simili sono invece del tutto inutili in questo contesto, perché per quanto capaci di proteggere le nostre identità non possono proteggerci dall’invio di e-mail all’indirizzo sbagliato.

White Paper - Quanto ti costa un attacco informatico? Gioca d’anticipo grazie all’Intelligenza Artificiale

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr