Immaginate di entrare in un centro commerciale e che uno sconosciuto inizi a seguirvi per tutto lo stabilimento: prende appunti dettagliati sui negozi che visitate, osserva se prendete un flyer promozionale e vi spia per vedere se lo leggete con attenzione; quando entrate in un negozio, usa un cronometro per misurare il tempo esatto che passate vicino a ogni scaffale. Sembra assurdo e sgradevole, non è vero? Purtroppo, però, è esattamente ciò che accade ogni volta che visitate un sito web importante, aprite le e-mail di uno store o di un servizio online o utilizzate le loro app sullo smartphone. La persona con il cronometro dell’esempio precedente corrisponde, a livello online, ai sistemi di analytics collegati a quasi tutti i siti web, le app e le campagne pubblicitarie via e-mail.
Perché le aziende hanno bisogno di questi dati? Ne hanno bisogno per diversi motivi tra cui:
- Per conoscere meglio le vostre preferenze e per suggerirvi prodotti e servizi che potreste acquistare con maggiore probabilità. È per questo motivo che, dopo aver visitato un sito web di ciclismo, visualizzerete per vari mesi alcuni fastidiosi annunci di biciclette.
- Aggiungere testi e immagini più efficaci ai siti web e alle e-mail. Le aziende testano varie opzioni di didascalie, intestazioni e banner, scegliendo quelle su cui i clienti si soffermano maggiormente.
- Per identificare le sezioni più popolari di un’app mobile o di un sito web e i modi in cui l’utente interagisce con esse.
- Per testare nuovi prodotti, servizi e funzionalità.
- Per vendere i dati relativi al comportamento e alle preferenze degli utenti ad altre aziende.
In un articolo dettagliato pubblicato su Securelist, abbiamo esaminato le statistiche relative alle “spie” più attive: Google, Microsoft e Amazon sono le aziende più affamate di dati (i vostri).
Come funzionano i web beacon e i pixel di tracciamento
Le attività di tracciamento descritte sopra si basano sui web beacon, noti in inglese con il nome di tracker pixel o spy pixel, e in italiano come pixel di tracking. La tecnica di pixel tracking più diffusa consiste nell’inserire una piccola immagine (così piccola da essere praticamente invisibile) di dimensioni 1×1 o addirittura 0x0 pixel, in un’e-mail, un’app o una pagina web. Quando il vostro schermo visualizza le informazioni, il vostro client e-mail o browser invierà una richiesta per scaricare l’immagine dal server trasmettendo informazioni su di voi che il server registra: l’ora, il dispositivo utilizzato, il sistema operativo, il tipo di browser e la pagina da cui il pixel è stato scaricato. In questo modo l’operatore del beacon viene a sapere che l’utente ha aperto l’e-mail o la pagina web e come. Al posto del pixel viene spesso utilizzato un piccola stringa di codice (JavaScript) all’interno della pagina web che può raccogliere informazioni ancora più dettagliate. In ogni caso, il tracker non è in alcun modo visibile nell’e-mail o nel sito web: l’utente non può vederlo. Tuttavia, questi beacon posizionati all’interno delle pagine o delle schermate delle applicazioni consentono di “seguirvi”, tracciando il vostro percorso di navigazione e il tempo che trascorrete in ogni fase di tale percorso.
Cybercriminali e web beacon
Le agenzie di marketing e le tech company non sono le uniche a utilizzare i web beacon: anche i cybercriminali li usano. I web beacon sono un modo conveniente per effettuare una ricerca preliminare prima di portare a termine un attacco mirati via e-mail (spear phishing, compromissione delle e-mail aziendali). I beacon aiutano i cybercriminali a scoprire a che ora le loro vittime controllano (o non controllano) le e-mail per poi scegliere il momento migliore per realizzare un attacco: è più facile violare gli account degli utenti o inviare e-mail false a loro nome mentre l’utente è offline.
Le informazioni sugli utenti, compresi i dati sul comportamento e sugli interessi, possono essere divulgate a seguito di un attacco hacker. Anche leader di mercato come Mailchimp, Klaviyo o ActiveCampaign a volte sono vittime di questo tipo di fughe di dati. Le informazioni rubate possono essere utilizzate per varie truffe. Ad esempio, gli hacker che hanno attaccato Klaviyo hanno rubato liste di utenti interessati agli investimenti in criptovalute. Una tattica di phishing mirata può quindi essere utilizzata per colpire quel pubblico e sottrargli criptovalute.
Proteggersi dal tracking
È impossibile evitare fughe di dati e hackeraggi, ma possiamo fare in modo che i server dei tech giant raccolgano il minor numero possibile di dati su di noi. I consigli che seguono possono essere utilizzati separatamente o combinati tra loro:
- Bloccate il caricamento automatico delle immagini nelle e-mail. Quando configurate l’e-mail sul telefono, sul computer o su un client basato sul web, assicuratevi di attivare l’impostazione che blocca la visualizzazione automatica delle immagini. La maggior parte delle e-mail hanno senso anche senza immagini. Quasi tutti i client di posta elettronica aggiungono un pulsante “mostra immagini” proprio sopra il corpo dell’e-mail in modo tale che, per caricare le immagini in caso di necessità, basti un click.
- Bloccare i tracker web. È possibile impedire il caricamento della maggior parte dei beacon. Nelle Kaspersky Premium è possibile attivare le impostazioni per la navigazione privata. Firefox consente di attivare e impostare la Protezione antitracciamento avanzata. Tra le estensioni ufficiali e consigliate per Chrome, Firefox e Safari potete trovare specifici plugin per la privacy. È possibile trovarli digitando privacy o protezione antitracciamento nella barra di ricerca.
- Proteggete la connessione a Internet. La protezione dal tracking funziona bene a livello di sistema operativo o di router domestico. Se bloccate i web beacon sul vostro router, questi smetteranno di funzionare non solo nelle e-mail e nelle pagine web, ma anche all’interno delle applicazioni e persino sulla vostra smart TV. A tal fine, si consiglia di attivare il DNS sicuro nelle impostazioni del sistema operativo o del router e di specificare un server DNS che blocchi i tracker. A volte anche una connessione VPN può fornire una protezione contro il tracking. Se questa è l’opzione più comoda per voi, assicuratevi che il vostro provider VPN offra un servizio di blocco dei tracker efficace.