E poi è l'utente che è tonto…

Qualche mese fa ho dovuto cambiare provider per il mio sito: quello che avevo usato negli ultimi anni, e con il quale mi ero trovato ragionevolmente bene, ha chiuso le attività in Europa. Con un solo mese di preavviso, in un periodo in cui ero piuttosto impegnato, non ho avuto modo di perderci troppo tempo, e così ho comprato un servizio di hosting dal provider che mi sta gestendo il dominio. Pessima scelta. A parte diversi disservizi gestiti in modo discutibile, al momento la cosa che trovo più fastidiosa è un servizio antispam non disattivabile, che non mi permette di ricevere i messaggi marcati come spam ma li rifiuta direttamente. Ragionevole, direte, se lo spam è certamente spam… beh, uno dei motivi per cui è stata una pessima scelta è che lo spam non sempre è spam, sono normali mail di colleghi, inviate da server che non sono in alcuna delle blacklist che sono riuscito a trovare, e che vengono rifiutate in modo intermittente. Comunque, qualche tempo fa ho aperto un ticket perché uno dei miei corrispondenti mi ha avvertito che un messaggio gli era rimbalzato con l’errore:

<<< 550 5.2.1 <claudi0@telmon.org>... Mailbox disabled for this recipient
550 5.1.1 <claudi0@telmon.org>... User unknown

Un errore che difficilmente possono far passare per un problema del mittente, come hanno fatto in un’altra occasione. Ho aperto un ticket, anche se il problema era transitorio ed ero sicuro che non ne avrebbero cavato niente. Qualche giorno dopo mi arriva una mail con il seguente testo:

Please reply to this e-mail with the e-mail box name and password so we
may further research your issue.  We apologize for any inconvenience.

Lì per lì ho pensato ad un tentativo di phishing arrivato per caso mentre avevo un ticket aperto, ma purtroppo il subject del messaggio riportava chiaramente il numero del mio ticket. Preso dallo sconforto, sono andato alla pagina di gestione dei ticket aperti, per inserire almeno la password da lì anziché inviarla via mail. È così che sono capitato su una pagina del loro sito in cui veniva evidenziato un messaggio per gli utenti che invitava a non farsi imbrogliare dal phishing:

“[our] representatives will never call or email you to request your login information”

Che dire? A quel punto ho risposto via mail dicendo che l’indirizzo era in realtà un indirizzo di forwarding e quindi non ci avrebbero trovato messaggi per fare verifiche, e non ho mandato la password. Dopodiché, ho aperto un altro ticket segnalando che, al contrario di quanto dichiarato nell’avviso, mi era arrivata via mail una richiesta di password: tanto ormai il “problema”, transitorio, si era risolto da solo e il supporto non avrebbe capito niente di utile. A conferma, qualche giorno dopo mi sono visto arrivare una mail di “test”, seguita da una comunicazione relativa al primo ticket, in un inglese stentato, che diceva che la persona del supporto aveva disabilitato temporaneamente il forward sull’account (!!), aveva fatto delle prove e poi aveva riabilitato il forward, e non risultavano problemi. Naturalmente, dopo questo messaggio mi sono connesso alla casella e ci ho trovato dei messaggi destinati a me che durante i “test” non erano stati proseguiti, e il tutto era stato possibile senza bisogno della  mia password. A chiudere il quadro, mi è infine arrivata una mail relativa al secondo ticket, quello sul “phishing”, che dichiarava:

We apologize, but the e-mail you received was not a fishing attempt.  To investigate and resolve e-mail issues,
our Technical Service Delivery Team needs the e-mail box name and password.

Questo dopo che il problema era stato risolto senza password. Morale della favola: se io fossi un utente qualsiasi che ha provato a seguire le raccomandazioni sul phishing che gli arrivano da ogni parte, cosa dovrei pensare?