Pokémon Go è arrivato in Italia da pochi giorni e si prevede già che anche nel nostro paese avrà un successo simile a quello riscosso in tutto il mondo. Anche i cybercriminali si sono accorti di questo successo ed hanno iniziato a creare truffe sui social network e versioni dell’app contenenti trojan per attaccare i giocatori.
Non solo: molti altri hanno sviluppato sistemi per barare al gioco, modificando virtualmente – ad esempio – la posizione GPS, un’operazione che sta obbligando la società al ban degli account. Anche l’app ufficiale è stata inizialmente al centro di alcune perplessità legate alla privacy degli utenti per via delle autorizzazioni che richiede: alla luce di questi avvenimenti, Norton deciso di analizzare le principali minacce collegate a Pokémon Go creando poi alcuni suggerimenti per proteggere gli utenti ed i loro dispositivi.
PokéMonete gratuite: tutto fumo e niente arrosto
Innanzitutto, l’app prevede acquisti in-app, con i quali gli utenti possono spendere denaro reale per acquistare una valuta virtuale chiamata PokéMonete, utile a sua volta per acquistare oggetti da utilizzare nel gioco. Alcuni utenti potrebbero provare a bypassare questo sistema cercando di ottenere PokéMonete gratuite: basta infatti cercare online “Pokémon Go free coins generator” per trovarsi di fronte a numerosi link che portano, invece, alla classica “truffa con sondaggio”.
Quando l’utente arriva sul sito fraudolento, gli viene chiesto il nome utente in Pokémon Go e la quantità di PokéMonete che desidera ricevere. Fino a questo momento Symantec non ha ancora rilevato truffatori che chiedessero la password dell’account. Alcune truffe sono più elaborate e promettono funzionalità aggiuntive, come una speciale garanzia anti-ban. In ogni caso, il sito avvia semplicemente un video prima di chiedere di verificare la propria identità.
Questo processo di verifica richiede all’utente di compilare un sondaggio, installare applicazioni o registrarsi a servizi in abbonamento. Inutile dire che se l’utente seguisse fino alla fine le istruzioni dei truffatori non riceverebbe però PokeCoins gratuiti, mentre i truffatori ricevono denaro reale per la partecipazione di ogni utente a queste iniziative, grazie a programmi di affiliazione. Secondo le statistiche legate ai link abbreviati dei siti di questo tipo, un migliaio di persone ha già cliccato sui link più diffusi.
Altri truffatori chiedono invece che l’utente condivida manualmente un messaggio su Twitter o Facebook prima di ricevere PokeCoins gratuiti, coin che non riceveranno mai – indipendentemente dal numero di post condivisi. Symantec ha scoperto centinaia di messaggi di questo tipo, con URL differenti, postati sui social media. Come rilevato nel Symantec Internet Security Threat Report 2016, truffe di questo tipo hanno rappresentato il 76% delle truffe sui social media nel 2015.
Occhio alle app scaricate attraverso canali non ufficiali: il Trojan è dietro l’angolo
Oltre a questo, Pokémon Go non è ancora arrivato ufficialmente in molti paesi: nella settimana di lancio era disponibile solo negli Stati Uniti, in Australia e Nuova Zelanda. Questo lancio in pochi paesi ha quindi “invogliato” molti appassionati che volessero provare il gioco nel minor tempo possibile a scaricare sui loro dispositivi Android oppure su iPhone con il jailbreak a scaricare l’app da fonti non ufficiali.
Gli hacker hanno approfittato di questo interesse, creando versioni infette da Trojan alla app per dispositivi Android. Come già rilevato, diversi hacker hanno spacciato un trojan per l’accesso remoto (Android.Sandorat) per l’app Pokémon Go. Questa minaccia è stata condivisa su diversi siti per il download delle app e forum dedicati al gaming. Quando la versione fraudolenta dell’app viene installata, mostra la schermata iniziale di Pokemon Go, facendo credere all’utente che vada tutto bene quando rende invece il dispositivo completamente accessibile agli hacker che volessero attaccarlo.
Chi bara a Pokémon Go
Parallelamente alle attività malevole e fraudolente, sono stati anche scoperti alcuni utenti che hanno trovato il modo per “imbrogliare” il gioco e catturare più Pokémon senza alzarsi dal divano per andare in giro alla ricerca dei Pokémon più rari.
Alcuni hanno utilizzato modalità veramente creative, come ad esempio legare un dispositivo mobile a trenini giocattolo, ventilatori, cani o droni per far credere alla app che l’utente sia in movimento. Altri hanno invece trovato un modo per ingannare il ricevitore GPS, utilizzando app già disponibili che possono essere installati su dispositivi Android rootati o su iPhone con il jailbreak, e utilizzare Pokémon Go come se fossero connessi da un altro luogo, che magari ospitava Pokémon più rari.
Trucchi di questo tipo erano già stati utilizzati da quanti in passato hanno giocato a Ingress, che Niantic aveva sviluppato tre anni fa, prima di dedicarsi a Pokémon Go. Niantic sembra avesse già previsto una situazione di questo tipo, dal momento che sembra siano già stati bannati per alcune ore utenti che utilizzassero spoofer GPS per questo scopo. Symantec non ha ancora rilevato attacchi tramite spoofer GPS fasulli, ma non esclude che possa succedere con la crescita della community di giocatori.
Permessi e Privacy
Niantic è stata al centro dell’attenzione anche per alcune perplessità legate alla privacy, nate dopo che alcuni utenti hanno notato come la app richieda la concessione di molte autorizzazioni, tra cui l’accesso completo ai loro account Google. L’azienda ha dichiarato di avere accesso unicamente alle informazioni base dell’utente e ha poi reso disponibile un aggiornamento della app che chiedesse meno autorizzazioni.
Anche dopo questo aggiornamento, però, Pokémon Go continua a richiedere molti dati come i profili legati alla posizione e i modelli di movimento degli utenti, come descritto nella privacy policy del gioco. I data raccolti potrebbero crescere ulteriormente con l’utilizzo di Pokémon Go Plus, il dispositivo Bluetooth indossabile pensato dall’azienda per collegarsi allo smartphone. Symantec ha già parlato in passato dei dispositivi indossabili con funzionalità di tracking, in questa occasione ha scoperto che alcuni device Bluetooth LE possono essere tracciati o possono consentire l’accesso ad alcuni dati da parte di malintenzionati. Poiché Pokémon Go Plus non è ancora disponibile, comunque, non è ancora possibile affermare se questo dispositivo sarà affetto o meno dalle stesse problematiche.
La sicurezza nel mondo reale
Il successo di Pokemon Go ha anche portato molti utenti a uscire da casa, all’aria aperta, e fare attività fisica: parallelamente, i giocatori si sono trovati coinvolti in incidenti per non aver prestato attenzione al mondo reale o vittime di furti a causa di criminali che li hanno attirati in luoghi segnalati dal gioco come PokéStop solo per rapinarli. La app ricorda all’utente di prestare attenzione a quello che lo circonda quando gioca, gli utenti dovrebbero anche evitare di recarsi in aree isolate o scarsamente illuminate da soli durante le sessioni di gioco.
Come fare quindi per ridurre i rischi?
Per quanto riguarda la sicurezza dei dispositivi mobile, gli utenti dovrebbero seguire alcuni semplici consigli che possono ridurre sensibilmente il rischio di subire attacchi di questo tipo:
1. Evitare di scaricare l’app Pokémon Go da fonti non ufficiali, perché i malintenzionati possono utilizzare questi siti per diffondere malware “camuffato” da app ufficiali;
2. Installare l’aggiornamento di Pokemon Go che rimuove la richiesta di accesso completo all’account Google;
3. Stare alla larga dai tool che promettono trucchi per il gioco, perché potrebbero essere fraudolenti o contenere malware;
4. Assicurarsi che lo smartphone sia aggiornato per evitare che siano sfruttate vulnerabilità note;
5. Utilizzare una password sicura e unica per l’account Pokémon Go;
6. Prestare attenzione alle autorizzazioni richieste dalle app;
