Se non vi fidate di chi vi ha mandato una mail senza avervi chiesto prima il permesso, perché dovreste fidarvi del link che vi propone per cancellare l’iscrizione alla mailing list?

Se vi state facendo la stessa domanda allora siete tra coloro che condividono l’ammonimento lanciato dal Wall Street Journal che invita alla massima cautela nel cliccare il classico “Clicca qui per annullare l’iscrizione” in calce ad un messaggio da una fonte che non conoscete e alla quale non avete mai chiesto di essere iscritti.

Una porta aperta agli spammer

Diffidare ha delle buone ragioni di base. Secondo i dati di DNSFilter, una mail su 644 contenente un link per “unsubscribe” porta l’utente su un sito potenzialmente pericoloso.

Una volta cliccato il link, si abbandona l’ambiente protetto del client per entrare nel web, dove le regole cambiano e i rischi aumentano. Il rischio più immediato è finire vittima di un semplice trucchetto: cliccando, si conferma che l’indirizzo email è attivo. E per chi invia spam, quel clic è oro puro.

“Cliccare dice agli attaccanti che siete persone reali, che interagiscono con lo spam”, spiega Michael Bargury, co-fondatore di Zenity, società di sicurezza informatica. E non serve che succeda qualcosa subito: anche solo aver segnalato la propria presenza può bastare per finire in altri database, target di future truffe.

Una volta che i malintenzionati capiscono che dietro un indirizzo email c’è una persona reale e attenta, infatti, possono iniziare a raccogliere informazioni con l’obiettivo di colpire in futuro con truffe mirate o tentativi di estorsione.

In altri casi, il link porta a una pagina fake che imita il sito originale, con l’obiettivo di estorcere credenziali. “Se una pagina vi chiede di inserire la password per disiscrivervi, è un segnale d’allarme”, avverte ancora Bargury. In quel caso, meglio aprire direttamente il sito ufficiale in un’altra finestra del browser e modificare da lì le preferenze di comunicazione.

La possibilità di installare un malware esiste, ma è più remota, ome spiega Charles Henderson, Executive Vice President of Cybersecurity Services presso Coalfire, una società statunitense specializzata in sicurezza informatica.

Perché l’attacco abbia successo, dice Henderson, dovrebbero allinearsi tre condizioni: l’utente dovrebbe usare una versione del browser con una vulnerabilità sconosciuta, gli aggressori dovrebbero puntare proprio a quella vulnerabilità specifica, e infine la vittima dovrebbe cliccare sul link malevolo.

Le alternative più sicure

La buona notizia è che ci sono modi molto più sicuri per disiscriversi senza esporsi inutilmente. Il primo è affidarsi ai “list-unsubscribe header”, ovvero quei pulsanti integrati nel client (come “Annulla iscrizione” su Gmail), che non portano fuori dal client stesso e sono considerati affidabili dagli esperti.

In mancanza di quella opzione, il consiglio è semplice: segnalare la mail come spam. A quel punto sarà il provider a occuparsene, e le successive finiranno direttamente nel cestino.

Se il problema persiste, si può creare un filtro che blocchi automaticamente i messaggi provenienti da determinati indirizzi. E per evitare di cadere di nuovo nella rete, meglio usare indirizzi email dedicati per acquisti, coupon e iscrizioni varie.

Apple, ad esempio, offre la funzione “Nascondi la mia Email”, che genera indirizzi casuali collegati alla propria casella principale. Chrome e Firefox offrono estensioni simili.

Usare questi strumenti è molto più razionale che pensare che un disonesto tratti onestamente la vostra richiesta di essere lasciati in pace.