Site icon Ryadel

Il mio nuovo libro su Angular non è ancora uscito, ma è già uno scam

Il mio nuovo libro su Angular non è ancora uscito, ma è già uno scam

Scrivere un libro di programmazione è un'attività che si rivela quasi sempre molto più difficile e faticosa del previsto, specialmente quando si ha a che fare con framework mutevoli e poco prevedibili come ASP.NET Core e Angular. Ancora una volta abbiamo dovuto attendere il rilascio dell'ultima versione "final" di Angular, proprio come già accaduto in passato: la volta scorsa si trattava della versione 5.0.0, inizialmente prevista per il 18 settembre 2017, quindi rimandata di oltre un mese (23 ottobre) e infine rilasciata il 2 novembre dopo ben nove release candidate.

Dopo quell'esperienza pensavamo di averle viste tutte, ma ci sbagliavamo: l'ultima major release di Angular ha avuto infatti un ritardo di oltre due mesi (da dicembre a febbraio) ed è stata preceduta da quattordici release candidate, un vero e proprio record!

Ad ogni buon conto, finalmente l'attesa è finita: nella notte tra il 6 e il 7 febbraio 2020, ovvero poco più di 24 ore fa, la versione 9.0.0 di Angular è stata rilasciata su GitHub, consentendo al libro di entrare in stampa e all'editore Packt Publishing di rispettare la data di pubblicazione, fissata pessimisticamente (neanche tanto, come poi s'è visto!) all'11 febbraio.

Il mio nuovo libro su Angular non è ancora uscito, ma è già uno scam

Ora che il pericolo di non rispettare i tempi di pubblicazione previsti è stato scampato voglio raccontarvi una curiosa scoperta che ho fatto questo pomeriggio: si tratta di un racconto simile a quello che probabilmente avrete già sentito altre volte, ma che può essere utile per riflettere sul tipo di realtà informatica in cui, volenti o nolenti, ci troviamo oggi a navigare.

Mentre effettuavo alcune ricerche su Google per calcolare il livello di indicizzazione SERP raggiunto dai siti che davano il libro disponibile per il preorder mi sono imbattuto in uno strano post twitter che menzionava il mio libro - con tanto di ISIN, nome, autore e descrizione - invitando a scaricare l'e-book mediante un link non meglio identificato.

Il profilo, intestato a una certa Christine H. McAndrews, sembrava ovviamente tutto meno che autentico, presentando anzi tutte le più evidenti caratteristiche del classico account fake: zero following/follower, iscrizione a gennaio 2020, e una sfilza di post recanti informazioni su come scaricare libri di prossima uscita, tutti corredati da link che puntano allo stesso host.

Stanti queste premesse, non ho potuto fare a meno di visitare il sito in questione.

IMPORTANTE: Come regola generale non fate mai una cosa del genere, a meno che non siate in grado di prendere le opportune precauzioni: trattandosi di siti gestiti da scammer il loro contenuto potrebbe provocarvi delle spiacevoli sorprese, specialmente se utilizzare browser non sicuri o non aggiornati.

Il sito indicato dai link di "Christine" ha l'aspetto di un forum a carattere generale, ma è sufficiente una prima occhiata per comprendere che si tratta di una scam page che tenta di spacciarsi come una discussione di appassionati che parlano del libro.

La pagina è stata programmata in modo tale da riempire "dinamicamente" una serie di placeholder disseminati all'interno dei vari fake-post con il nome del libro e dell'autore presenti nei parametri della URL: questo consente a "Christine", che ovviamente altri non è che un tweet-bot automatico, di utilizzarla nei suoi post per ciascuno dei libri che l'autore di questa truffa ha intenzione di "promuovere", o per meglio dire di utilizzare come esche per attirare qualche navigatore sprovveduto desideroso di scaricarli a costo zero. Tra i parametri c'è persino la URL di un'immagine del libro presa da Amazon, che purtroppo è stata implementata male visto che - ad oggi - nella pagina non compare.

Il finto thread sviluppato dalla pagina ritrae una scenetta piuttosto prevedibile, tipica dei raggiri online. Il primo messaggio è scritto da un utente che chiede informazioni su dove è possibile trovare il libro; alla richiesta risponde un (finto) utente, che suggerisce un servizio di "download gratuito di e-book" all'interno del quale si consumerà la truffa vera e propria:

La truffa prosegue mettendo in scena la tipica trovata del dubbio fugato dalla smentita, un trucco di social engineering piuttosto elementare per conquistare la fiducia della potenziale vittima e spingerla a compiere una call-to-action potenzialmente rischiosa: il finto utente iniziale risponde a sua volta con tono poco convinto, obiettando che quel sito chiede la carta di credito...

... ma è subito rassicurato da un altro utente (anch'esso finto, ovviamente) che conferma l'autenticità e l'affidabilità del servizio: "non temere, è sicurissimo: metti la carta e vai con il download!"

La palla torna dunque all'utente (finto) originario, che risponde confermando il corretto funzionamento del sito: veniamo così a sapere che la carta di credito serve solo a confermare che chi vuole scaricare l'ebook è una persona reale, praticamente un CAPTCHA:

La scenetta si conclude con un'altro paio di utenti che confermano la genuinità del sito e lodano le caratteristiche del servizio: la truffa è servita.

Nel caso in cui vogliate dare un'occhiata alla pagina in questione, potete accedervi copiando l'URL che trovate qui di seguito e incollandolo nella barra degli indirizzi del vostro browser:

  • https://toositego.ml/az.php?q=ASP.NET+Core+3+and+Angular+9+-+Third+Edition+-+Valerio+De+Sanctis&i=https://m.media-amazon.com/images/I/61kIIUNGgLL._AC_UY327_FMwebp_QL65_.jpg

Inutile dire che si tratta di un'operazione da compiere con cautela e facendo molta attenzione: la pagina al momento non contiene script dannosi, ma nulla vieta agli scammer che gestiscono il dominio di modificarne i contenuti nel prossimo futuro; quel che è certo è che non dovete per nessun motivo accedere al link contenuto (e più volte reiterato) all'interno del thread, men che meno inserire la vostra carta di credito o qualsivoglia altro dato.

Conclusione

Per il momento è tutto: devo dire che questo scam mi ha davvero sorpreso; ero al corrente di simili stratagemmi, ma leggere il proprio nome (e il proprio libro) all'interno di un raggiro così "futuribile" (in tutti i sensi) fa comunque un certo effetto.

Prima di salutarvi, vi ricordo che - se volete dare un'occhiata al libro ASP.NET Core 3 and Angular 9 senza rischiare brutte sorprese - potete farlo gratuitamente sfruttando le anteprime disponibili sia su Amazon che sul sito dell'editore ai seguenti indirizzi:

Alla prossima!

Se vuoi saperne di più su .NET Core e Angular, dai un'occhiata al libro ASP.NET Core 3 and Angular 9, disponibile in formato cartaceo ed e-book. L'ultima versione del libro, aggiornata a ASP.NET Core 5 e Angular 11, è disponibile qui.

 

Exit mobile version