Blog di Spaceship

L'evoluzione dello spam via email

La prima email spam fu inviata da Gary Thuerk nel 1978 a circa 400 persone. L'email includeva una brochure per i computer DECSYSTEM-20. Ebbe un successo incredibile e generò circa 13 milioni di dollari di vendite. Inoltre, aprì la strada all'email come nuovo canale per raggiungere i clienti e vendere prodotti.

Ci sono due modi di vedere lo spam via email.

  1. Arriva nella tua casella di posta, clicchi su elimina, qual è il problema?

  2. Un gioco internazionale del gatto col topo, in cui la tua casella di posta, e ciò che vi arriva, si trova in prima linea mentre big tech, agenzie governative e organizzazioni criminali combattono per la tua sicurezza, la tua attenzione e il tuo conto in banca.

La seconda prospettiva potrebbe sembrare drammatica, ma se ti evita qualche grattacapo e magari anche qualche perdita di denaro, vale la pena capirla, no?

Beh… tutto inizia con una battuta su una scatoletta di carne in conserva.

Che cos'è un'email spam e perché si chiama spam?

Ci sono molte cose che lo spam può essere: pubblicità, truffe, newsletter indesiderate, la lista potrebbe continuare. Ma l'unica cosa che lo spam non è, è invitato. Come uno sciame di zanzare che arriva al primo accenno d'estate, lo spam arriva quasi sempre in massa. È non richiesto, indesiderato e davvero molto fastidioso.

Ma perché condivide il suo nome con una scatoletta di carne in conserva fatta con spalla di maiale e prosciutto? Per questo, dobbiamo ringraziare un famoso sketch dei Monty Python, in cui la parola “spam” veniva ripetuta più e più volte, quasi fino alla follia. Questo consolidò “spam” come simbolo di qualcosa di incessante e indesiderato. Nel 1993, un astuto utente di internet prese questa idea e descrisse un'ondata di post ripetuti come spam e voilà, il nome rimase.

Ma, nonostante le sue origini curiose, la parola in sé non rende l'idea di quanto lo spam possa essere dannoso – o di quanto sia difficile liberarsene. Come le zanzare, le email spam spesso trasportano materiali pericolosi che possono devastare i tuoi dispositivi. Per non parlare del rischio per i tuoi dati personali e dell'emicrania che può derivare dall'avere la casella di posta invasa da pubblicità losche. Ma capire la storia aiuta. Se riesci a capire come lo spam trova la strada verso la tua casella di posta, farai un lavoro migliore nel tenerlo fuori.

Tipo di spam

Esempio

Spam pubblicitario

Email promozionali

Phishing

Email false di accesso bancario

Spam con malware

Allegati dannosi

Email truffa

False lotterie o truffe legate a eredità


Quando è stata inviata la prima email spam?

Quindi da dove arriva lo spam via email? Potresti sorprenderti nello scoprire che la prima email spam fu inviata prima ancora che internet esistesse. Non proveniva da qualche oscuro gruppo criminale, ma da un singolo marketer che cercava di vendere una nuova linea di computer e, incredibile ma vero, fruttò milioni.

Nel 1978, il responsabile marketing Gary Thuerk inviò un'email a circa 400 persone tramite ARPANET, la rete militare che precedette internet. Il suo messaggio era un invito a una presentazione sui nuovi computer DECSYSTEM-20. L'email generò circa 13 milioni di dollari di vendite, ma infastidì anche quasi tutti coloro che la ricevettero.

La parte più interessante di questa storia della storia dello spam non è quando l'email fu inviata, ma il doppio taglio che si cela dietro lo spam via email. Da un lato, si possono guadagnare somme da capogiro con pubblicità inviate a centinaia, migliaia o persino milioni di persone. Ma lo spam è chiaramente fastidioso. Purtroppo, questa è la dinamica di attrazione e repulsione che accompagnerà lo spam lungo la sua turbolenta storia.

Come si è evoluto lo spam nel corso dei decenni?

Se hai avuto la fortuna di crescere nell'era della protezione di Google e Microsoft, potresti non ricordare i primi giorni di internet, quando eliminare lo spam dalla tua casella di posta era un compito molto più manuale.

Cronologia dell'evoluzione dello spam via email

Anno

Evento

1978

Gary Thuerk invia la prima email spam

1994

Campagna spam “Green Card Lottery”

1996

MAPS lancia le blackhole list

2003

Viene introdotto il CAN-SPAM Act

Anni 2000

Botnet e phishing esplodono

Anni 2010

Il filtraggio con AI migliora

Anni 2020

Aumentano phishing e spam generati dall'AI


Anni 1980–1990: il far west dell'email

Nel 1983, un anno prima della previsione di George Orwell su un superstato totalitario, stava prendendo forma qualcosa di molto diverso. Per la prima volta, divenne possibile per più reti indipendenti connettersi tra loro, creando le basi per l'attuale rete globale di reti, o internet come ci piace chiamarla.

Nel decennio successivo, milioni di nuovi utenti andarono online e iniziarono a creare indirizzi email. Non esisteva alcuna autorità centrale che dicesse: “non puoi farlo” e l'email poteva sostanzialmente fungere da canale pubblicitario gratuito. Un solo messaggio inviato in massa a migliaia, persino milioni, di persone a costo quasi zero.

Quale fu il risultato? Negli anni '90, lo spam esplose, e così anche gli sforzi per controllarlo. Nel 1994, gli avvocati Canter & Siegel lanciarono la loro famigerata pubblicità “Green Card Lottery” in migliaia di gruppi Usenet, spesso considerata la prima grande campagna di spam commerciale. Le difese arrivarono presto. Il Mail Abuse Prevention System (MAPS) introdusse la prima Real-time Blackhole List nel 1996, bloccando la posta proveniente da server spam noti, e gruppi come Spamhaus crearono blocklist e condivisero informazioni per tenere fuori gli spammer.

Anni 2000: il decennio in cui lo spam si è fatto oscuro

Gli anni 2000 possono aver segnato la fine del millennio, ma per molti furono il vero inizio delle fastidiose email che inondavano le caselle di posta. Google, Yahoo e Microsoft salirono tutti sul carro anti-spam. Ma non si trattava più di pubblicità scadenti o schemi per arricchirsi in fretta: lo spam stava diventando più oscuro. Gli spammer avevano iniziato a usare le “botnet”, reti di computer infetti, per inviare spam su scala enorme.

I governi decisero che era il momento di intervenire. Nel 2003, gli Stati Uniti introdussero il CAN-SPAM Act (Controlling the Assault of Non-Solicited Pornography and Marketing). Imponeva agli spammer di rispettare le richieste di opt-out ed evitare oggetti ingannevoli, ma il problema era che la responsabilità ricadeva comunque sui destinatari, che dovevano annullare l'iscrizione. L'Europa, invece, adottò un approccio più severo. L'UE istituì un sistema di opt-in per l'email marketing, il che significava che le aziende non potevano inviare email commerciali senza prima ottenere il consenso.

Gli anni 2000 segnarono la vera esplosione del gioco del gatto col topo che finì per definire lo spam. Gli spammer inventavano nuovi trucchi e i difensori trovavano modi per contrastarli. Prendi per esempio il filtraggio bayesiano: analizza le parole in un'email, calcola le probabilità e decide se si tratta di posta indesiderata o autentica. Quando apparve per la prima volta, fu una svolta nel modo in cui i provider email potevano reprimere lo spam. Nel 2004, Bill Gates predisse persino che il problema dello spam sarebbe stato risolto entro due anni. Ma, come sempre, gli spammer si adattarono rapidamente.

Esempi del botta e risposta dello spam in azione:

L'era moderna: quando lo spam ha imparato a pensare

Stephen Hawking una volta avvertì che gli esseri umani un giorno potrebbero essere per l'AI ciò che i cani sono per gli esseri umani, un pensiero inquietante. E anche se può sembrare cupo, non è esagerato dire che l'ascesa dell'AI potrebbe essere trasformativa quanto l'invenzione della macchina a vapore. Non sorprende quindi che l'AI stia plasmando la battaglia tra chi cerca di trarre profitto dallo spam e chi prova a controllarlo. La differenza è che, a differenza dei filtri antispam tradizionali, l'AI può imparare e adattarsi.

L'ironia qui è che i truffatori stanno usando gli stessi strumenti per migliorare le loro email spam che gli studenti universitari usano per superare gli esami. Prima degli strumenti di AI, le email spam erano piene di refusi, errori grammaticali e segnali d'allarme evidenti. Ora, grazie ai large language model, email spam con grammatica impeccabile, tono localizzato e agganci personalizzati possono essere inviate in massa. Invece di inviare 10’000 email identiche, i truffatori possono inviare 10’000 email leggermente diverse ed evitare i controlli. Facendo passare il testo attraverso modelli che simulano il punteggio spam, gli aggressori possono modificare i loro messaggi finché non appaiono “sicuri”.

I giganti dell'email stanno facendo lo stesso. Usano AI e machine learning non solo per analizzare il contenuto, ma anche per esaminare il comportamento del mittente, i segnali di rete e persino il contesto dei messaggi. Gmail, per esempio, ora può individuare schemi sospetti, come improvvisi picchi di email da nuovi domini o contenuti che imitano esche di phishing note, e adattarsi in tempo reale per bloccare nuove campagne spam.

Che impatto ha avuto lo spam sull'email e sulle aziende?

Se torniamo alla storia delle origini dello spam via email, e al suo omonimo dei Monty Python, il tema era semplice: fastidio. All'epoca, era esattamente così che veniva visto la maggior parte dello spam. Ma nei decenni successivi è diventato molto più pericoloso. Cliccare sul link sbagliato oggi può significare virus o gravi perdite finanziarie.

E non sono solo i singoli a essere a rischio. Dagli anni 2000, i truffatori hanno escogitato modi elaborati per colpire obiettivi più grandi. Molti di questi schemi hanno persino soprannomi accattivanti che minimizzano quanto possano essere gravi le conseguenze.

Esempi di spam mirato alle aziende:

Spam di massa e truffe – Le email di massa continuano a inondare ogni giorno le caselle di posta, da pubblicità fastidiose a false lotterie o schemi del “principe nigeriano”. Sono di basso livello, ma intasano le caselle di posta e possono comunque ingannare i dipendenti.

Email di phishing – Imitano marchi affidabili e attirano gli utenti verso siti falsi. Un tempo goffe, queste email di phishing ora sono curate, automatizzate e difficili da distinguere da quelle autentiche.

Spear phishing e whaling – Attacchi mirati che usano nomi reali o progetti per ingannare dipendenti specifici. Quando prendono di mira i dirigenti, si parla di “whaling”, e il guadagno può essere enorme.Business Email Compromise (BEC) – I criminali si spacciano per CEO, fornitori o HR per indurre il personale a trasferire denaro o inviare dati.

Malware e ransomware – Lo spam spesso contiene allegati o link dannosi. Un solo clic può scatenare virus o ransomware, bloccando interi sistemi e costando alle aziende milioni.

Ma il vero pericolo sta nella portata delle conseguenze. Lo spam fa perdere tempo su scala enorme. Dipendenti che dubitano delle email o manager che indagano su falsi allarmi. Tutto questo erode la produttività.

Quanto costa davvero lo spam

L'FBI stima che il solo Business Email Compromise abbia prosciugato oltre 50 miliardi di dollari tra il 2013 e il 2022. Ecco perché la lotta contro lo spam continua a evolversi. I filtri ora guardano oltre le parole chiave per analizzare schemi, allegati e persino il comportamento del mittente. Leggi come CAN-SPAM e GDPR stabiliscono regole su consenso e trasparenza. E i provider email hanno aggiunto protezioni come SPF, DKIM e DMARC, rendendo molto più difficile per gli aggressori fingersi qualcun altro.

Come combattiamo lo spam oggi?

I moderni filtri antispam sono alimentati dall'AI e dal machine learning. Possono analizzare il comportamento del mittente e il contesto del messaggio, per poi adattarsi in tempo reale.

Ma la consapevolezza è ancora importante. Anche con i migliori filtri antispam, la formazione dei dipendenti deve diventare una parte fondamentale di fermare lo spam.

Come proteggerti dalle email spam

Oggigiorno, le aziende organizzano regolarmente programmi di sensibilizzazione che insegnano alle persone a rallentare e individuare i segnali d'allarme, o a verificare le richieste prima di agire. Alcuni di questi includono:

Pensa prima di cliccare

I consigli collaudati valgono ancora anche qui. Se hai ricevuto un'email che non ti aspettavi e non conosci il mittente, non cliccare su un link casuale. Puoi passare il cursore sul link da desktop, oppure tenere premuto su mobile per vedere prima l'anteprima della vera destinazione. Se l'indirizzo del link e l'indirizzo reale sono diversi, è un segnale d'allarme.

Se decidi comunque di cliccare su un link in un'email, non lasciarti ingannare dal lucchetto accanto all'URL: questo non significa che il sito sia sicuro. Il lucchetto conferma solo che qualcuno ha crittografato la connessione. Purtroppo, un sito di phishing può ottenere un certificato SSL con la stessa facilità di un sito legittimo.

Verifica il mittente 

Il nome visualizzato in un'email non è sempre la vera identità del mittente. Questo perché chiunque può cambiarlo in qualcosa di completamente diverso. Per verificare la vera identità, devi controllare l'indirizzo email esatto da cui proviene il messaggio.

A volte è evidente, ad esempio se l'email proviene da un indirizzo gratuito economico e usa e getta. Ma non è sempre così facile. Gli aggressori spesso camuffano le email cambiando pochi caratteri, come @p4ypal.com. Se non sei sicuro che l'email sia autentica, è meglio contattare i canali di comunicazione ufficiali.

Scegli un provider con SPF, DKIM, DMARC

Quando si parla di spam, SPF, DKIM e DMARC sono il gold standard dell'autenticazione email. Sono il modo migliore per capire se le email inviate dal tuo dominio provengono davvero da te o da un impostore. SPF verifica che l'email provenga da un server autorizzato a inviare per tuo conto. DKIM aggiunge una firma a prova di manomissione, così il messaggio non può essere alterato silenziosamente lungo il percorso. DMARC collega i due elementi e dice al server ricevente cosa fare quando un messaggio non supera il controllo.

La buona notizia è che non devi configurare nulla di tutto questo manualmente. Un buon provider email dovrebbe farlo per te. Quindi, quando scegli dove ospitare la tua email, cercane uno che supporti SPF, DKIM e DMARC come standard.

Usa il 2FA

Il 2FA aggiunge un secondo livello di sicurezza al tuo account. Significa autenticazione a due fattori e in pratica vuol dire dimostrare chi sei con due elementi invece di uno. Il primo è la tua password, il secondo potrebbe essere il tuo telefono, un'app di autenticazione, un'impronta digitale o una chiave di sicurezza.

Questo significa che se la tua password viene rubata, l'aggressore non può accedere al tuo account senza avere la seconda forma di autenticazione. Qualsiasi 2FA è meglio di nessun 2FA. Cerca provider email che lo offrano e attivalo ovunque puoi, iniziando dalla tua email.

Fai attenzione agli allegati

Gli esseri umani sono curiosi e gli aggressori ne approfittano. Il modo migliore per proteggerti è evitare di aprire allegati email che non ti aspettavi. Questo vale anche se provengono da qualcuno che conosci. Questo perché gli account vengono spesso compromessi e i mittenti falsificati.

Tratta sempre con particolare cautela PDF, documenti Word ed Excel, archivi ZIP e RAR, file HTML, immagini disco ISO e soprattutto file .exe. In caso di dubbio, conferma con il mittente tramite un canale separato prima di aprire qualsiasi cosa.

Mantieni il tuo team formato

In definitiva, gli esseri umani sono l'ultima linea di difesa quando si tratta di attacchi. Filtri, autenticazione e scansione degli allegati fermano molto, ma tutti i messaggi che riescono a passare sono progettati per ingannare una persona.

È qui che la formazione può fare un'enorme differenza. Fondamentalmente, le aziende dovrebbero formare il personale sugli attacchi di oggi, non su quelli di ieri. Questo significa esche scritte dall'AI senza refusi, deepfake vocali e video, e truffe tramite SMS, codici QR e richieste MFA, non solo email. 

Domande frequenti

La primissima email spam fu inviata nel 1978 su ARPANET, il predecessore di internet. Un marketer di nome Gary Thuerk inviò un'email a 400 persone con una proposta per nuovi computer. L'email fruttò milioni di dollari, ma infastidì molte persone.

Lo spam via email è nato come un modo economico per fare pubblicità a molte persone contemporaneamente tramite email. Agli inizi internet non aveva molte regole, ed era facile raggiungere migliaia di caselle di posta con una spesa quasi nulla.

Il nome deriva da uno sketch dei Monty Python in cui “spam” veniva ripetuto all'infinito. I primi utenti di internet presero in prestito il termine per descrivere lo stesso tipo di ripetizione nei messaggi indesiderati.

Lo spam è iniziato come pubblicità e catene di Sant'Antonio, per poi evolversi in phishing, malware e truffe su larga scala. Oggi l'IA aiuta gli spammer a scrivere messaggi curati e personalizzati, quindi i filtri hanno dovuto diventare più avanzati per stare al passo.

All'inizio degli anni 2000, lo spam costituiva quasi la metà di tutto il traffico email a livello mondiale. I governi sono intervenuti con leggi come il CAN-SPAM Act, e grandi provider come Yahoo, Microsoft e Google hanno creato difese più robuste.

I moderni filtri antispam usano l'IA e il machine learning per analizzare più delle sole parole chiave. Esaminano il comportamento del mittente, i segnali di rete e i modelli dei messaggi, come un improvviso aumento di email da un nuovo dominio o contenuti che imitano esche di phishing note, quindi si adattano in tempo reale per bloccare nuove campagne di spam. 

Lo spam di phishing impersona un brand o un contatto fidato per indurti a cliccare su un link dannoso o a condividere informazioni sensibili. Le email di phishing un tempo erano piene di errori di battitura e segnali d'allarme evidenti, ora sono curate e difficili da individuare.

Lo spam è qualsiasi tipo di email indesiderata inviata in massa, come pubblicità, newsletter spazzatura o false offerte di lotteria. Il phishing è un tipo di spam progettato per rubare i tuoi dati o il tuo denaro fingendo di essere qualcuno di cui ti fidi. Tutto il phishing è spam, ma non tutto lo spam è phishing.


Articoli suggeriti

Condividi i tuoi pensieri

Sono richiesti più di 10 caratteri.
La tua identità per la visualizzazione pubblica.
Fornire il tuo indirizzo email è facoltativo. Non sarà condiviso con terze parti.

Aiutaci a migliorare il nostro blog

Condividi i tuoi pensieri in un rapido sondaggio di due minuti.

È richiesto un indirizzo email valido