Pokémon Go, attenti alle truffe online !
Norton avverte tutti gli allenatori di Pokémon go, non fatevi truffare!
Truffe legate a PokeCoin gratuiti
Pokemon Go prevede acquisti in-app, con i quali gli utenti possono spendere denaro reale per acquistare una valuta virtuale chiamata “PokeCoins”. I giocatori possono spendere i loro PokeCoins per acquistare oggetti da utilizzare nel gioco per catturare Pokemon più rari. Alcuni utenti potrebbero provare a bypassare questo sistema cercando online PokeCoins scontati oppure gratuiti – sfortunatamente, però. i truffatori sono già preparati per questo scenario.
Cercando online “Pokemon Go free coins generator”, è possibile trovare numerosi link che portano alla classica “truffa con sondaggio”. Si tratta di link molto diffusi su internet, è possibile trovarli tanto su forum degli appassionati di videogiochi quanto su siti dedicati alle truffe. La maggior parte delle truffe di questo tipo è raggiungibile da post sui social media oppure da video con la presunta prova del funzionamento di un hacking tool per i PokeCoins.
Quando l’utente arriva sul sito fraudolento, gli viene chiesto il nome utente Pokemon Go e la quantità di coin che desidera. Fino a questo momento Symantec non ha ancora rilevato truffatori che chiedessero la password dell’account Pokemon Go. Alcune truffe sono più elaborate e promettono funzionalità aggiuntive, come una speciale garanzia anti-ban. In ogni caso, il sito avvia semplicemente un video prima di chiedere di verificare la propria identità. Questo processo di verifica richiede all’utente di compilare un sondaggio, installare applicazioni o registrarsi a servizi in abbonamento. Se l’utente seguisse fino alla fine le istruzioni dei truffatori non riceverebbe però PokeCoins gratuiti…
I truffatori ricevono però denaro reale per la partecipazione di ogni utente a queste iniziative, grazie a programmi di affiliazione. Secondo le statistiche legate ai link abbreviati dei siti di questo tipo, un migliaio di persone ha già cliccato sui link più diffusi.
Altri truffatori chiedono invece che l’utente condivida manualmente un messaggio su Twitter o Facebook prima di ricevere PokeCoins gratuiti, coin che non riceveranno mai – indipendentemente dal numero di post condivisi. Symantec ha scoperto centinaia di messaggi di questo tipo, con URL differenti, postati sui social media. Come rilevato nel Symantec Internet Security Threat Report 2016, truffe di questo tipo hanno rappresentato il 76% delle truffe sui social media nel 2015.
App Pokemon Go infettate da trojan su canali non ufficiali
Pokemon Go non è ancora arrivato ufficialmente in molti paesi: nella settimana di lancio era disponibile solo negli Stati Uniti, in Australia e Nuova Zelanda. Questo lancio in pochi paesi ha però “invogliato” molti appassionati che volessero provare il gioco nel minor tempo possibile a scaricare sui loro dispositivi Android oppure su iPhone con il jailbreak a scaricare l’app da fonti non ufficiali.
Gli hacker hanno approfittato di questo interesse, creando versioni infette da Trojan alla app per dispositivi Android. Come già rilevato, diversi hacker hanno spacciato un trojan per l’accesso remoto (Android.Sandorat) per la app Pokemon Go. Questa minaccia è stata condivisa su diversi siti per il download delle app e forum dedicati al gaming. Quando la versione fraudolenta dell’app viene installata, mostra la schermata iniziale di Pokemon Go, facendo credere all’utente che vada tutto bene quando rende invece il dispositivo completamente accessibile agli hacker che volessero attaccarlo.
Chi bara su Pokemon Go
Parallelamente alle attività malevole e fraudolente, sono stati anche scoperti alcuni utenti che hanno trovato il modo per “imbrogliare” il gioco e catturare più Pokemon senza nemmeno lasciare la propria abitazione per andare in giro alla ricerca dei Pokemon più rari.
Alcuni hanno utilizzato modalità veramente creative, come ad esempio legare un dispositivo mobile a trenini giocattolo, ventilatori, cani o droni per far credere alla app che l’utente sia in movimento. Altri hanno invece trovato un modo per ingannare il ricevitore GPS, utilizzando app già disponibili che possono essere installati su dispositivi Android rootati o su iPhone con il jailbreak, e utilizzare Pokemon Go come se fossero connessi da un altro luogo, che magari ospitava Pokemon più rari.
Trucchi di questo tipo erano già stati utilizzati da quanti in passato hanno giocato a Ingress, che Niantic aveva sviluppato tre anni fa, prima di dedicarsi a Pokemon Go. Niantic sembra avesse già previsto una situazione di questo tipo anche per Pokemon Go, dal momento che sembra siano già stati bannati per alcune ore utenti che utilizzassero spoofer GPS per questo scopo. Symantec non ha ancora rilevato attacchi tramite spoofer GPS fasulli, ma non esclude che possa succedere con la crescita della community di giocatori di Pokemon Go.
Esistono altri modi per barare su Pokemon Go. Fino a questo momento, la app non utilizza sistemi di pinning per i certificati, e questo significa che il gioco verifica la certificazione via server ma non se questo certificato sia effettivamente quello originale. Ciò potrebbe consentire agli utenti di installare certificati “fai-da-te” sui loro dispositivi e intercettare le comunicazioni con un semplice proxy man-in-the-middle (MITM). Questo metodo non potrebbe essere utilizzato per lanciare attacchi verso dispositivi in remoto, ma potrebbe consentire di identificare vulnerabilità nelle API in backend di Pokemon Go, dando potenzialmente all’utente la possibilità di automatizzare o modificare le richieste per avere più oggetti.
La sicurezza nel mondo reale
Il successo di Pokemon Go ha anche portato molti utenti a uscire da casa, all’aria aperta, e fare attività fisica. Questo però ha portato anche a casi di giocatori coinvolti in incidenti per non aver prestato attenzione al mondo reale o vittime di furti a causa di criminali che li hanno attirati in luoghi con Pokemon rari solo per rapinarli. La app ricorda all’utente di prestare attenzione a quello che lo circonda quando gioca, gli utenti dovrebbero anche evitare di recarsi in aree isolate o scarsamente illuminate da soli durante le sessioni di gioco.