台灣玩家等得好苦!Pokémon Go(精靈寶可夢GO)在全球引發抓捕小精靈的熱潮,火熱現象同時也吸引網路罪犯的注意。雖然Pokémon Go現在已開放超過30個歐美、紐澳等國家的玩家下載使用,由於前幾週Pokémon Go只在部分地區發布,台灣也還沒開放下載,所以太想跟上這個熱潮的玩家透過第三方應用程式及破解版Pokémon Go搶先體驗遊戲,卻沒想到意外讓自己曝露危險之中。
電腦王阿達15日就披露,中國第三方應用程式兔兔助手與破解版Pokémon Go,「輕者帳號被鎖定無法登入App Store,重者信用卡被盜刷。」可說是災情慘重。
賽門鐵克資安團隊發現了針對Pokémon Go所推出的社交媒體詐騙和木馬版本惡意程式,並提示玩家注意以下網路威脅:
1. 免費 PokéCoin 騙局
Pokémon Go中用來購買遊戲道具的虛擬貨幣PokéCoin成為駭客瞄準的目標,玩家為了獲得打折或免費的PokéCoin,往往在網路上搜尋可以繞過應用程式內購買機制,找到「Pokémon Go免費幣產生器」,結果連結到典型的詐騙連結。駭客會用社交媒體發布貼文或是發布相關教學影片來讓玩家信以為真。
(圖說:釣魚詐騙網站要求使用者點擊確認身份,才能使用假的PokéCoin工具。圖片來源:賽門鐵克提供。)
進入詐騙網站後,使用者必須提供Pokémon Go使用者名和希望獲得的虛擬貨幣數量,然後也有可能在播放影片後讓使用者進行假的「身分驗證」,填寫調查表、安裝應用或註冊服務,駭客則進而可取得使用者的隱私資料。雖然還沒有發現要求使用者提供Pokémon Go密碼的騙局,但這類型的詐騙使用者得特別小心。根據詐騙短網址的統計顯示,每個詐騙連結都被上千個使用者點擊過,顯見受害者眾。
(圖說:PokéCoin詐騙煞有其事要求使用者進行身份驗證,但其實只是為了取得你的機敏資訊。圖片來源:賽門鐵克提供。)
此外,也有詐騙要求使用者在Twitter或Facebook手動分享資訊來獲取免費的PokéCoin,目前已有數百條包括各種網址的消息,但使用者永遠不會得到免費的PokéCoin。
賽門鐵克2016年網路安全威脅調查報告指出,2015年,類似的分享詐騙在所有社交媒體詐騙事件中占比76%,比例非常高,不得不慎。
2. 第三方應用暗藏木馬病毒
Pokémon Go發佈首週並未正式開放大多數地區和國家,也讓Android設備或越獄iPhone使用者尋找非官方管道下載遊戲。已被發現有惡意軟體開發者將遠端存取木馬 (Android.Sandorat)偽裝成Pokémon Go應用程式,散佈在多個下載網站和遊戲論壇供玩家下載。一旦玩家安裝了有木馬病毒的Pokémon Go之後,攻擊者就獲得使用者手機的完全存取權限甚至是信用卡資料。
3. Pokémon Go 作弊工具
有些玩家希望不在戶外走動就能夠抓住或孵出更多精靈,便在Android設備或越獄版iPhone的根目錄上安裝可以假冒GPS位置的應用,讓Pokémon Go以為使用者在移動。雖然還沒有惡偽裝成GPS位置的假冒程式,但玩家也要特別小心。
資安專家提醒,千萬不要從非官方商店的第三方應用網站下載Pokémon Go App,網路攻擊者往往會把惡意軟體偽裝成合法應用散布在這些網站,也要遠離遊戲作弊工具。第二,使用者要時常更新智慧手機系統,防止漏洞被利用。第三,保護自己的帳號可以為Pokémon Go帳戶設置安全性強的唯一密碼。第四,使用App時密切注意應用所請求的許可權。
