E-mail harvesting

Da Teknopedia, l'enciclopedia libera.
Vai alla navigazione Vai alla ricerca

L'e-mail harvesting o scraping è l'insieme dei metodi utilizzati per ottenere elenchi di indirizzi e-mail a cui poi vengono inviati messaggi di massa o di spam.

Metodi

[modifica | modifica wikitesto]

Il metodo più semplice prevede che gli spammer acquistino o scambino elenchi di indirizzi e-mail da altri spammer.

Un altro metodo comune è l'uso di software speciali noti come harvesting bot[1] o harvester, che scansionano pagine web, post su Usenet, archivi di mailing list, forum e altre fonti online per ottenere gli indirizzi e-mail da dati pubblici.

Gli spammer possono anche utilizzare una forma di attacco a dizionario per raccogliere indirizzi e-mail, in cui gli indirizzi e-mail validi in un dominio specifico vengono trovati per tentativi, generando indirizzi e-mail composti da nomi utente comuni e dal dominio del gestore di posta e inviando messaggi di prova. Tutti i destinatari per cui il messaggio non viene rifiutato dal server di posta come "utente sconosciuto" vengono aggiunti all'elenco degli indirizzi di posta elettronica teoricamente validi per quel dominio.

Un altro metodo per raccogliere indirizzi e-mail è quello di offrire un prodotto o un servizio gratuitamente a condizione che l'utente fornisca un indirizzo e-mail valido, oppure tramite phishing, per poi utilizzare gli indirizzi raccolti dagli utenti come bersagli di spam. I prodotti e servizi più comuni offerti sono barzellette del giorno, citazioni bibliche quotidiane, avvisi su novità o azioni, gadget gratuiti o persino avvisi su autori di reati registrati nella propria zona. Un'altra tecnica è stata utilizzata alla fine del 2007 dalla società iDate, che ha utilizzato la raccolta di e-mail indirizzate agli abbonati del sito web Quechup per inviare spam agli amici e ai contatti della vittima.[2]

Legalità

[modifica | modifica wikitesto]

In molte giurisdizioni sono in vigore leggi anti-spam che limitano la raccolta o l'utilizzo di indirizzi e-mail.

In Australia, la creazione o l'uso di programmi di raccolta di indirizzi e-mail (software di raccolta di indirizzi) è illegale, secondo la legislazione anti-spam del 2003, solo se si intende utilizzare i programmi di raccolta di indirizzi e-mail per inviare e-mail commerciali indesiderate.[3][4] La legge mira a vietare le e-mail con "una connessione australiana", ovvero lo spam proveniente dall'Australia che viene inviato altrove e lo spam che viene inviato a un indirizzo australiano.

La Nuova Zelanda ha restrizioni simili contenute nel suo Unsolicited Electronic Messages Act del 2007.[5] Negli Stati Uniti d'America, il CAN-SPAM Act del 2003[6] ha reso illegale inviare e-mail commerciali a un destinatario il cui indirizzo e-mail fosse stato ottenuto tramite:

  • Utilizzo di un mezzo automatizzato che genera possibili indirizzi di posta elettronica combinando nomi, lettere o numeri in numerose permutazioni.
  • Utilizzo di un mezzo automatizzato per estrarre indirizzi di posta elettronica da un sito Web Internet o da un servizio online proprietario gestito da un'altra persona, e tale sito Web o servizio online includeva, al momento dell'ottenimento dell'indirizzo, un avviso attestante che l'operatore di tale sito Web o servizio online non cederà, venderà o trasferirà in altro modo gli indirizzi gestiti da tale sito Web o servizio online a terzi allo scopo di avviare o consentire ad altri di avviare messaggi di posta elettronica.

Inoltre, i gestori di siti web non possono distribuire gli elenchi da loro legittimamente raccolti. Il CAN-SPAM Act del 2003 richiede che gli operatori di siti web e servizi online includano un avviso in cui si afferma che il sito o il servizio non cederà, venderà o trasferirà in altro modo gli indirizzi gestiti da tale sito web o servizio online a terzi allo scopo di avviare o consentire ad altri di avviare messaggi di posta elettronica.

Contromisure

[modifica | modifica wikitesto]
Offuscamento dell'indirizzo

Una contromisura comune per ostacolare la raccolta di indirizzi e-mail consiste nello scrivere l'indirizzo in un formato testuale completo, come per esempio "bob at example punto com" invece di "bob@example.com". Sebbene relativamente facile da superare, è comunque efficace.[7][8] Questo metodo può risultare un po' scomodo per chi dovrà usare l'indirizzo di posta, che dovrà correggerlo manualmente.

Immagini

Un'altra contromisura molto efficace è l'uso di immagini per riportare tutto o parte di un indirizzo e-mail, dato che l'elaborazione necessaria per estrarre automaticamente il testo dalle immagini non è economicamente sostenibile per gli spammer. È molto scomodo per gli utenti che digitano l'indirizzo manualmente, che devono ricopiarlo dall'oimmagine.

Moduli web

Tramite i form internet è possibile inviare e-mail a un destinatario senza doverne pubblicare l'indirizzo. Questo metodo impedisce agli utenti di usare il loro programma di posta elettronica preferito (possono inviare messaggi solo via web), limita il contenuto del messaggio al solo testo normale e non viene salvato nella casella di "posta inviata" del mittente.

Offuscamento via JavaScript

L'offuscamento delle e-mail tramite JavaScript genera un normale collegamento e-mail cliccabile per gli utenti, nascondendo al contempo l'indirizzo ai crawler. Il codice sorgente scansionato dai crawler contiene infatti una versione codificata o comunque offuscata dell'indirizzo e-mail, che risulta quindi inutilizzabile.[9] Sebbene sia molto comodo per la maggior parte degli utenti, riduce l'accessibilità, ad esempio per i browser basati su testo e gli screen reader.[10]

Offuscamento nel codice HTML

In HTML, gli indirizzi e-mail possono essere offuscati in molti modi, ad esempio inserendo elementi nascosti all'interno dell'indirizzo o elencando parti non in ordine e utilizzando CSS per ripristinare l'ordine corretto. Ognuno di questi metodi ha il vantaggio di essere trasparente per la maggior parte degli utenti, ma nessuno supporta link e-mail cliccabili e nessuno è accessibile ai browser basati su testo e ai lettori di schermo.

Note

[modifica | modifica wikitesto]
  1. ^ Find e-mail addresses in seconds, su tomba.io.
  2. ^ theguardian.com, https://www.theguardian.com/technology/2007/sep/13/guardianweeklytechnologysection.news1. URL consultato il 30 ottobre 2007.
  3. ^ efa.org.au, http://www.efa.org.au/Publish/spambills2003.html#ahs.
  4. ^ Copia archiviata, su dcita.gov.au. URL consultato il 4 luglio 2021 (archiviato dall'url originale il 3 febbraio 2007).
  5. ^ legislation.govt.nz, http://www.legislation.govt.nz/act/public/2007/0007/latest/link.aspx?id=DLM405209. URL consultato il 4 luglio 2021.
  6. ^ frwebgate.access.gpo.gov, http://frwebgate.access.gpo.gov/cgi-bin/getdoc.cgi?dbname=108_cong_public_laws&docid=f:publ187.108.pdf. URL consultato il 28 maggio 2007.
  7. ^ Silvan Mühlemann, 20 July 2008, Nine ways to obfuscate e-mail addresses compared
  8. ^ 2012, http://downloads.ohohlfeld.com/paper/imc2012-harvesting.pdf.
  9. ^ Silvan Mühlemann, 20 July 2008, Nine ways to obfuscate e-mail addresses compared
  10. ^ Roel Van Gils, A List Apart, 6 November 2007, Graceful e-mail Obfuscation Archiviato il 22 febbraio 2011 in Internet Archive.

Voci correlate

[modifica | modifica wikitesto]
  Portale Internet
Estratto da "https://it.wikipedia.org/w/index.php?title=E-mail_harvesting&oldid=141181179"