Le email commerciali sono zeppe di spy pixel ️

Aggiornato il: 09-12-2022 12:30
Il fenomeno dei cosiddetti spy pixel sembra molto diffuso all’interno dell’invio di e-mail commerciali e di newsletter: un fenomeno tanto comune quanto, alla prova dei fatti, poco noto alla maggior parte degli utenti di Internet. Vale la pena di soffermarsi un po’ su questo aspetto e cercare di capire meglio di cosa si tratta nello specifico.





Che cos’è uno spy pixel?

Il nome dalla parvenza inquietante, “pixel spia“, è un modo gergale per riferire una situazione che deve essere spiegata con qualche premessa per i meno tecnici. Ogni email che riceviamo, e ci riferiamo alle email commerciali per comodità, è attualmente scritta con il markup HTML. Grazie ad esso è possibile inserire non solo testo “piatto” ma anche ipertesti, formattazione del testo, immagini, video e quant’altro contribuisca al mondo multimediale.

Ma c’è un problema in questa scelta, o meglio: se usiamo HTML siamo esposti a più rischi, mentre l’invio di mail testuale di per sé non permetterebbe l’uso degli spy pixel. L’utilizzo di alcuni tag HTML specifici, in particolare quelli legati alle immagini, permette di includerne una nel formato:

<img src="http://esempio.it/immagine.png"/>

formato in cui, per chi non fosse pratico, abbiamo:

  • < e > sono delimitatori che aprono e chiudono il tag HTML per le immagini, img;
  • src rappresenta l’attributo con il percorso o URL dell’immagine da aprire.

L’uso di uno spy pixel permette di effettuare un’operazione poco ovvia dal punto di vista di chi riceve la mail ma molto comoda dal punto di vista di chi lo invia e desidera tracciare il nostro comportamento: la maggioranza dei client di posta infatti carica automaticamente le immagini ogni volta che ne apriamo una. Questo tecnicamente parlando significa che il client di posta prova ad accedere ad un URL esterno che può essere controllato interamente da chi invia la mail (sender), inclusa la possibilità di manipolare l’URL inserendovi un tag identificativo del destinatario (receiver). Nella pratica questo si tradurrà in un URL del tipo:

https://pippo-tracker-mail.prova/PATH_IMMAGINE

dove il path dell’immagine codifica (spesso in forma criptata) un identificativo interno del destinatario, e l’immagine potrebbe essere, alternativamente:

  1. uno script che genera un’immagine estrapolandola da un DB;
  2. un’immagine statica in formato PNG, WEBP, JPG ecc.

in entrambi i casi, basta un’immagine molto piccola, ad esempio 1×1 pixel, in modo che il destinatario non si possa accorgere della sua presenza (un pixel singolo, tipicamente bianco, sarà peralto confondibile con lo sfondo della mail). Lato server (quindi pippo-tracker-mail.prova, per capirci) l’accesso all’URL in questione viene tracciato come una request specifica, in cui:

  • saranno loggate nel server data e ora dell’accesso, unite all’identificativo: questo permetterà di risalire al fatto che la mail è stata aperta;
  • la request attivata dall’URL potrà consentire la memorizzazione di ulteriori informazioni come, ad esempio, quelle incluse nell’header HTTP della richiesta, quindi ulteriori dati relativi al client di posta.

La cosa incredibile risiede nel fatto che questa operazione viene eseguita con una semplice immagine fake, uno spy pixel (1×1, in genere) che non appesantisce l’invio e che traccia il comportamento di apertura della mail da parte di utenti ignari. Facendo un test veloce a campione, salvo rilevazione di falsi positivi, su una decina di email che ho scaricato a caso e testato con uno script Python si rileva la presenza di uno spy pixel in quasi tutte le email. Statisticamente non significa nulla, ovviamente, E bisognerebbe fare dei test massivi per accertarsene, ma trovo abbastanza assurdo che una cosa del genere sia così praticata senza che la maggior parte degli utenti ne sappia nulla.

Schermata 2022 11 26 alle 20.20.01
Risultato del test da tool Python: https://github.com/martbock/spy-pixel-finder

La tecnica del genere può essere utilizzata anche per una mail privata al fine di tracciare se e quando la mail viene aperta, motivo per cui se non si vogliono dare indizi eccessivi o se si temono violazioni o invasioni è decisamente preferibile resistere alla tentazione di aprire email sospette: nel momento in cui apriamo l’email spalanchiamo la porta a potenziali intercettazioni di questo tipo. E poi sono anche intercettazioni in senso blando se vogliamo, che non si tratta certamente di accendere la webcam o registrare quello che diciamo: però il problema dovrebbe essere inquadrato in una maniera differente, un po’ meno dovremmo essere consapevoli che c’è un problema del genere e prendere eventuali contromisure.

Per ulteriori informazioni in ambito tecnico, potete leggere la disanima approfondita sull’argomento presente nel sito notospypixels.com.

Come bloccare gli spy pixel

Per fortuna c’è un modo per farlo, ed è molto semplice. Tra le contromisure che bloccano e/o segnalano visibilmente nella vostra casella di posta potenziali spy pixel abbiamo diverse possibilità, per fortuna:

  • Ugly Email che è lo strumento addon per Firefox e Chrome che mostra un “occhietto” su ogni email che fa uso di pixel nascosti (vedi in basso)
  • MailTrackerBlocker che dovrebbe essere di default per Mac
  • HEY
  • Big Mail blocca ed etichetta i pixel spioni
  • Simplify

Non è detto che tutti gli strumenti siano egualmente precisi, anche perchè l’inclusione di immagini su server esterni non è detto che sia usata a scopo di tracciamento o monitoraggio. Siccome non c’è modo di saperlo dall’esterno, il tool tende ad essere poco permissivo e infatti segnala un sacco di email commerciali che ne fanno uso.

Schermata 2022 11 26 alle 20.51.38
Quasi tutte le email della sezione “Promozioni” di questo indirizzo Gmail fanno uso di spy pixel, in apparenza.


Questo blog pubblica contenuti ed offre servizi free da 11 anni. – Leggi un altro articolo a caso – Per informazioni contattaci
5/5 (1)

Ti sembra utile o interessante? Vota e fammelo sapere.

Le email commerciali sono zeppe di spy pixel ️
Schermata 2022 11 26 alle 20.59.30
Torna su