Norton ha deciso di venire incontro a tutti i fan di Pokémon GO, guidandoli verso la salvaguardia dei loro dati personali, istruendoli su come fare per difendersi dalle sempre più elevate minacce sorte per approfittarsi della passione per il nuovo fenomeno del momento.
I cybercriminali hanno però deciso di approfittarsi di questo enorme successo e hanno iniziato a creare truffe sui social network e versioni dell’app contenenti trojan per attaccare i giocatori di Pokémon GO. Altri hanno invece sviluppato sistemi per barare su Pokémon GO, barando per esempio sulla posizione GPS. L’app ufficiale è stata inoltre al centro di alcune perplessità legate alla privacy degli utenti per via delle autorizzazioni che richiede.
Truffe legate a PokéCoin gratuiti
Pokémon GO prevede acquisti in-app, con i quali gli utenti possono spendere denaro reale per acquistare una valuta virtuale chiamata “PokéCoins” utile per acquistare oggetti da usare nel gioco per catturare Pokémon più rari. Alcuni utenti potrebbero provare a bypassare questo sistema cercando online PokéCoins scontati oppure gratuiti – sfortunatamente, però i truffatori sono già preparati per questo scenario.
Cercando online “Pokémon Go free coins generator”, è possibile trovare numerosi link che portano alla classica “truffa con sondaggio”. Si tratta di link molto diffusi su internet, è possibile trovarli tanto su forum degli appassionati di videogiochi quanto su siti dedicati alle truffe. La maggior parte delle truffe di questo tipo è raggiungibile da post sui social media oppure da video con la presunta prova del funzionamento di un hacking tool per i PokéCoins.
Quando l’utente arriva sul sito fraudolento, gli viene chiesto il nome utente Pokémon GO e la quantità di coin che desidera. Fino a questo momento Symantec non ha ancora rilevato truffatori che chiedessero la password dell’account Pokémon Go. Alcune truffe sono più elaborate e promettono funzionalità aggiuntive, come una speciale garanzia anti-ban. In ogni caso, il sito avvia semplicemente un video prima di chiedere di verificare la propria identità. Questo processo di verifica richiede all’utente di compilare un sondaggio, installare applicazioni o registrarsi a servizi in abbonamento. Se l’utente seguisse fino alla fine le istruzioni dei truffatori non riceverebbe però PokéCoins gratuiti…
I truffatori ricevono però denaro reale per la partecipazione di ogni utente a queste iniziative, grazie a programmi di affiliazione. Secondo le statistiche legate ai link abbreviati dei siti di questo tipo, un migliaio di persone ha già cliccato sui link più diffusi.
Altri truffatori chiedono invece che l’utente condivida manualmente un messaggio su Twitter o Facebook prima di ricevere PokéCoins gratuiti, coin che non riceveranno mai – indipendentemente dal numero di post condivisi. Symantec ha scoperto centinaia di messaggi di questo tipo, con URL differenti, postati sui social media. Come rilevato nel Symantec Internet Security Threat Report 2016, truffe di questo tipo hanno rappresentato il 76% delle truffe sui social media nel 2015.
App Pokemon Go infettate da trojan su canali non ufficiali
Come già rilevato, diversi hacker hanno spacciato un trojan per l’accesso remoto (Android.Sandorat) per la app Pokemon GO. Questa minaccia è stata condivisa su diversi siti per il download delle app e forum dedicati al gaming. Quando la versione fraudolenta dell’app viene installata, mostra la schermata iniziale di Pokémon GO, facendo credere all’utente che vada tutto bene quando rende invece il dispositivo completamente accessibile agli hacker che volessero attaccarlo.
Chi bara su Pokemon Go
Parallelamente alle attività malevole e fraudolente, sono stati anche scoperti alcuni utenti che hanno trovato il modo per “imbrogliare” il gioco e catturare più Pokemon senza nemmeno lasciare la propria abitazione per andare in giro alla ricerca dei Pokemon più rari.
Alcuni hanno utilizzato modalità veramente creative, come ad esempio legare un dispositivo mobile a trenini giocattolo, ventilatori, cani o droni per far credere alla app che l’utente sia in movimento. Altri hanno invece trovato un modo per ingannare il ricevitore GPS, utilizzando app già disponibili che possono essere installati su dispositivi Android rootati o su iPhone con il jailbreak, e utilizzare Pokémon GO come se fossero connessi da un altro luogo, che magari ospitava Pokémon più rari.
Trucchi di questo tipo erano già stati utilizzati da quanti in passato hanno giocato a Ingress, che Niantic aveva sviluppato tre anni fa, prima di dedicarsi a Pokémon Go. Niantic sembra avesse già previsto una situazione di questo tipo anche per Pokémon Go, dal momento che sembra siano già stati bannati per alcune ore utenti che utilizzassero spoofer GPS per questo scopo. Symantec non ha ancora rilevato attacchi tramite spoofer GPS fasulli, ma non esclude che possa succedere con la crescita della community di giocatori di Pokemon Go.
Permessi e privacy
Niantic è stata al centro dell’attenzione anche per alcune perplessità legate alla privacy, nate dopo che alcuni utenti hanno notato come la app richieda la concessione di molte autorizzazioni, tra cui l’accesso completo ai loro account Google. L’azienda ha dichiarato di avere accesso unicamente alle informazioni base dell’utente e ha poi reso disponibile un aggiornamento della app che chiedesse meno autorizzazioni.
Anche dopo questo aggiornamento, però, Pokémon GO continua a richiedere molti dati come i profili legati alla posizione e i modelli di movimento degli utenti, come descritto nella privacy policy del gioco. I data raccolti potrebbero crescere ulteriormente con l’utilizzo di Pokémon GO Plus, il dispositivo Bluetooth LE indossabile pensato dall’azienda per collegarsi allo smartphone. Symantec ha già parlato in passato dei dispositivi indossabili con funzionalità di tracking, in questa occasione ha scoperto che alcuni device Bluetooth LE possono essere tracciati o possono consentire l’accesso ad alcuni dati da parte di malintenzionati. Poiché Pokémon GO Plus non è ancora disponibile, comunque, non è ancora possibile affermare se questo dispositivo sarà affetto o meno dalle stesse problematiche.
La sicurezza nel mondo reale
Il successo di Pokémon GO ha anche portato molti utenti a uscire da casa, all’aria aperta, e fare attività fisica. Questo però ha portato anche a casi di giocatori coinvolti in incidenti per non aver prestato attenzione al mondo reale o vittime di furti a causa di criminali che li hanno attirati in luoghi con Pokémon rari solo per rapinarli. La app ricorda all’utente di prestare attenzione a quello che lo circonda quando gioca, gli utenti dovrebbero anche evitare di recarsi in aree isolate o scarsamente illuminate da soli durante le sessioni di gioco.
Come fare quindi per ridurre i rischi?
- Per quanto riguarda la sicurezza dei dispositivi mobile, gli utenti dovrebbero seguire alcuni semplici consigli che possono ridurre sensibilmente il rischio di subire attacchi di questo tipo:
- Evitare di scaricare la app Pokémon Go da fonti non ufficiali, perché i malintenzionati possono utilizzare questi siti per diffondere malware “camuffato” da app ufficiali;
- Installare l’aggiornamento di Pokémon GO che rimuove la richiesta di accesso completo all’account Google;
- Stare alla larga dai tool che promettono trucchi per il gioco, perché potrebbero essere fraudolenti o contenere malware;
- Assicurarsi che lo smartphone sia aggiornato per evitare che siano sfruttate vulnerabilità note;
- Utilizzare una password sicura e unica per l’account Pokémon Go;
- Prestare attenzione alle autorizzazioni richieste dalle app;
- Installare una soluzione per la sicurezza di smartphone e tablet, come quella offerta da Norton, per proteggere il dispositivo e i dati che contiene.