Le aziende possono tenere traccia di quando un’e-mail è stata aperta, da dove è stata aperta e quale dispositivo è stato utilizzato per leggere il messaggio: tutto ciò è possibile utilizzando una tecnica nota come pixel tracking o pixel di tracciamento (in alcuni casi è conosciuta anche come codice di tracciamento).
Utilizzata prevalentemente a scopi di marketing, la tecnica del pixel tracking è tornata alla ribalta dopo che il provider di posta elettronica Hey, analizzando il traffico di rete dei suoi utenti, ha scoperto che due terzi dei messaggi da loro ricevuti contenevano pixel di tracciamento che hanno consentito alle aziende di venire a conoscenza di molti dati personali appartenenti a chi ha aperto le e-mail, tra cui l’indirizzo IP e la posizione geografica.
Ma anche quanto tempo è stato impiegato per leggere le e-mail e quanto spesso gli utenti sono tornati a leggere di nuovo i messaggi “traccianti”.
Con un evidente problema di violazione della privacy in quanto, con la semplice apertura dell’e-mail, un utente si ritrova a condividere dati personali a sua totale insaputa.
Senza dire che la tecnica del pixel tracking è utilizzata anche dai cyber criminali per tracciare online le loro potenziali vittime.
Cos’è il pixel tracking e come funziona
Il pixel tracking è dunque un subdolo trucco nascosto che consente di effettuare un monitoraggio della posta elettronica utilizzando metodi di snooping, ovvero un tipo di “intrusione” che consente di intercettare dati e informazioni trasmesse tra due stazioni remote (tipicamente, il server che ha inviato l’e-mail e il cliente che l’ha ricevuta).
Per farlo, viene per l’appunto utilizzato un pixel di tracciamento (chiamato anche pixel 1×1 o tag pixel) che altro non è se non un’immagine con dimensioni di 1×1 pixel che viene caricata quando un utente visita una pagina web o apre un’e-mail.
Più precisamente, quindi, all’interno del messaggio di posta elettronica è presente un collegamento ad un’immagine da un pixel che viene scaricata dal server che ha inviato l’e-mail nel momento in cui il messaggio viene aperto dall’utente.
Appena il server riceve una richiesta di download dell’immagine, chi ha inviato il messaggio di posta elettronica “tracciato” è in grado di conoscere l’indirizzo IP del dispositivo che ha effettuato la richiesta, la tipologia di dispositivo e il sistema operativo utilizzato, oltre alla posizione geografica dell’utente.
Poiché è così piccolo, difficilmente il pixel tracking può essere visto dai destinatari di posta elettronica, anche perché tipicamente sono trasparenti o dello stesso colore di fondo utilizzato anche nel messaggio e-mail.
Perché il pixel tracking mette a rischio la privacy
Poiché la piccola immagine di tracciamento non può essere vista ad occhio nudo e l’utente comune non riconosce il significato di questo particolare elemento grafica anche qualora fosse visibile, il pixel tracking comporta un trasferimento di informazioni e dati personali senza consenso.
Sulla base di ciò, i critici sostengono che con i pixel di tracciamento, la privacy dell’utente viene violata attraverso la registrazione di un profilo di movimento.
La trasmissione dell’indirizzo IP consente, inoltre, di abbinare le informazioni ad altre informazioni su Internet: ad esempio, a un profilo in un social network o forum (il tracciamento delle e-mail è vietato dal GDPR senza l’espresso consenso dell’utente. Questo trattamento, eseguito in segreto, è in contraddizione con i principi di protezione dei dati che richiedono lealtà e trasparenza nella raccolta dei dati personali).
Perché viene utilizzato il pixel tracking
L’uso dei pixel di tracciamento è vantaggioso per gli operatori di siti Web, i SEO e i mittenti di posta elettronica. Questo perché possono utilizzare le informazioni generate per migliorare le loro offerte online, renderle più user-friendly e adattare le offerte ai tipi e alle versioni di browser più comunemente utilizzati.
Ancora più vantaggioso è il fatto che i pixel tracking sono più efficaci della cache nei browser: l’accesso a una pagina Web viene comunque conteggiato. Inoltre, se viene utilizzato JavaScript, è possibile raccogliere ulteriori informazioni, tra cui la risoluzione dello schermo, i plugin utilizzati, il supporto di determinate tecnologie da parte del browser e via dicendo.
Diventa quindi possibile distinguere tra utenti e bot, nonché creare profili utente. L’indirizzo IP, le visite di un determinato utente e le proprietà di questo utente possono essere utilizzati per creare percorsi di navigazione.
Per l’analisi Web (web analytics), tuttavia, il pixel di tracciamento generalmente costituisce solo la base. Sono necessarie tecnologie avanzate che possono essere realizzate solo da fornitori di servizi specializzati.
La tecnica del pixel tracking può anche essere utile nell’analisi delle newsletter inviate tramite posta elettronica, perché mostrano i tassi di apertura di determinate e-mail o newsletter attraverso i dati delle statistiche degli utenti.
Insieme ai Test A/B, è quindi possibile determinare le campagne di successo. Dal punto di vista del destinatario, questo ha il vantaggio che le newsletter in futuro possono essere progettate per essere più pertinenti e interessanti.
Contromisure per gli utenti
Esistono diversi accorgimenti che consentono di difendersi dal pixel tracking e che impediscono la raccolta dei propri dati tramite l’utilizzo di questa tecnica di tracciamento:
- impostare le impostazioni del browser e della posta elettronica in modo che siano il più restrittive possibile, in modo che la grafica esterna sia supportata solo dopo l’autorizzazione e le e-mail HTML non siano supportate. A tal fine è possibile utilizzare anche impostazioni firewall appropriate;
- installare le estensioni del browser che consentono di rendere visibili i pixel di tracciamento;
- attivare la navigazione anonima mediante l’utilizzo di TOR Browser o di server proxy che consentono di impedire il download dei pixel di tracciamento;
- al fine di impedire la raccolta di dati utente aggiuntivi come il tipo di browser o il sistema operativo, è possibile disattivare il supporto degli script nel browser: in questo caso, però occorre tener presente che questa particolare configurazione potrebbe limitare altre funzioni su Internet in determinate circostanze.
FONTE: CyberSecurity360