相關文章

5737508a5d118c65ba27632bf7e6d70d Pokemon Go 在全球引發了一場抓捕小精靈的熱潮,儘管只在部分地區發佈,但這款遊戲卻在不到一周的時間內獲得了超過百萬次的安裝量。 Pokemon Go的火爆現象同時也吸引了網路罪犯的注意。

目前資安公司已經發現了針對該遊戲的社交媒體詐騙和木馬版本。 不僅如此,由於官方版本要求使用者開放相關許可權,隱私和資料安全問題也受到了公眾的關注。在奮力抓捕精靈的同時,希望玩家注意以下網路威脅,保護設備和自身安全。

 

免費 PokeCoin 騙局 

在Pokemon Go中,玩家可以在應用內購買被稱為 PokeCoin 的虛擬貨幣,並用來購買遊戲中的道具,例如引誘精靈的熏香,或孵化稀有精靈的蛋。 一些玩家希望繞過應用程式內的購買機制,嘗試在網路上搜索打折或免費的PokeCoin。 不幸的是,網路詐騙罪犯已經盯上這樣的玩家。 

如果玩家搜索「Pokemon Go免費幣產生器」,就會找到典型的調查騙局的連結。 詐騙罪犯主要通過在社交媒體網站上發帖,或者發佈所謂的能夠證明PokeCoin 駭客工具有效的視頻來實施詐騙。


圖1.詐騙網站要求使用者點擊確認身份,才可以訪問實際並不存在的PokeCoin駭客工具 

 在進入詐騙網站後,使用者會被要求提供他們的Pokemon Go使用者名和希望獲得的遊戲幣數量。 到目前為止,我們尚未發現要求使用者提供Pokemon Go密碼的騙局。 雖然一些詐騙網站聲稱具有更多功能,但一般情況下,網站會在播放一段影像後要求使用者進行「身份驗證」。

這個驗證流程會要求使用者填寫調查表、安裝應用或註冊服務。 但現實是,即便使用者按照說明進行操作,也得不到免費的 PokeCoin。 而詐騙分子會因為使用者點擊參與的加盟聯網計畫而獲利。 根據詐騙短網址的統計顯示,每個這樣的連結都被上千個使用者點擊過。

 

圖2. PokeCoin騙要求使用者進行身份驗證

 有些詐騙要求使用者在社交媒體上(Twitter或Facebook)手動分享資訊來獲取免費的 PokeCoin。 需要瞭解的是,無論使用者分享多少次,他們都不會收到任何免費的 PokeCoin。

 

發現Pokemon Go 木馬版 

在Pokemon Go發佈首周,該應用只在美國、澳大利亞和紐西蘭上市。 由於沒有正式開放大多數地區和國家,這促使Android設備或越獄版iPhone使用者尋找非官方管道來下載該遊戲。

網路罪犯也抓住了使用者的心理和需求,針對Android設備建立了木馬版本。 惡意軟體開發者將遠端存取木馬 (Android.Sandorat) 偽裝成Pokemon Go 應用,發佈在多個下載網站和遊戲論壇。 當安裝木馬版本後,雖然玩家看到的是Pokemon Go的開始介面,並看起來沒有異樣,但是攻擊者已經獲得了使用者手機的完全存取權限。

 

Pokemon Go 作弊工具 

Pokemon Go玩家被發現嘗試在遊戲中作弊,希望不在戶外走動就能夠抓住或孵出更多精靈。 一些玩家想出了不少「創意」招數,例如,將手機粘貼在玩具火車、吊扇、寵物犬或無人機上,讓應用誤以為他們在移動。

還有一些玩家在root的Android設備或越獄版iPhone上安裝可以假冒GPS位置的應用,讓Pokemon Go誤以為使用者在移動,從而獲得稀有精靈。 儘管我們還沒有發現攻擊者將惡意軟體偽裝成GPS位置假冒程式,但隨著Pokemon Go使用者群的增長,這種情況將會發生。

 

存取權限和隱私風險 

不久前,安全人員意識到遊戲製造商Niantic要求使用者給予各種許可權,包括完全訪問使用者的Google帳戶,這讓Niantic在安全問題方面成為眾矢之的。 Niantic公司表示,遊戲只會訪問使用者的基本帳戶資訊,並隨後發佈了僅要求少數許可權的應用更新版本。

即使在更新後,Pokemon Go仍然會生成大量的資料,例如位置資訊和使用者移動模式等,如遊戲隱私權原則中提出。 不僅如此,當使用者使用Pokemon Go Plus配套藍牙LE可穿戴設備時,被收集的使用者資料可能會進一步增加。 部分藍牙LE設備會出現被跟蹤或洩露資料的風險。 由於Pokemon Go Plus尚未推出,現在我們還無法確定該設備是否會面臨相同的風險。

 

現實生活中的安全風險 

Pokemon Go的最大亮點之一在於鼓勵玩家探索戶外環境,然而我們也看到一些關於該遊戲引發危險事件的報導,例如有些玩家因為沒有注意路面而受傷等。 此外,由於Pokemon Go遊戲場景中相當能夠吸引眾多使用者前往該地點,這也給犯罪分子帶來了可乘之機。 犯罪分子能夠使用引誘功能(Lures)將目標受害者引誘到特定位置,從而實施犯罪。 我們建議玩家在享受遊戲的同時注意周圍環境,避免獨自前往偏僻或光線昏暗的地區。

 

提示

為了更輕鬆更安全地享受遊戲帶來的樂趣,資安公司賽門鐵克建議使用者採取以下建議: 

  • 不要從非官方市場下載Pokemon Go — 網路攻擊者通常使用這些網站將惡意軟體偽裝成合法應用;
  • 安裝更新版Pokemon Go —更新後的Pokemon Go不會請求完全拜訪 Google 帳戶;
  • 遠離遊戲作弊工具 — 這類工具很有可能具有欺詐性或包含惡意軟體;
  • 及時更新智慧手機的固件,防止漏洞被利用;
  • 為Pokemon Go帳戶設置安全性強的唯一密碼;
  • 密切注意應用所請求的許可權;

使用 Facebook 留言

發表回應

謹慎發言,尊重彼此。按此展開留言規則