Pokemon Go （口袋妖怪 Go）在全球引發了一場抓捕小精靈的熱潮，盡管只在部分地區發布，但這款游戲卻在不到一周的時間內獲得了超過百萬次的安裝量。Pokemon Go的火爆現象同時也吸引了網絡罪犯的注意。

賽門鐵克安全團隊已經發現了針對該游戲的社交媒體騙局和木馬版本。不僅如此，由于官方版本要求用戶開放相關權限，隱私和數據安全問題也受到了公眾的關注。

在奮力抓捕口袋妖怪的同時，賽門鐵克安全團隊希望提示玩家注意以下網絡威脅，保護設備和自身安全。

免費 PokeCoin 騙局

在Pokemon Go中，玩家可以在應用內購買被稱為 PokeCoin 的虛擬貨幣，并用來購買游戲中的道具，例如引誘口袋妖怪的熏香，或孵化稀有口袋妖怪的蛋。一些玩家希望繞過應用內的購買機制，嘗試在網絡上搜索打折或免費的PokeCoin。不幸的是，網絡詐騙罪犯已經盯上這樣的玩家。

如果玩家搜索"Pokemon Go免費幣生成器"，就會找到典型的調查騙局的鏈接。詐騙罪犯主要通過在社交媒體網站上發帖，或者發布所謂的能夠證明PokeCoin 黑客工具有效的視頻來實施詐騙。

圖1.詐騙網站要求用戶點擊確認身份，才可以訪問實際并不存在的PokeCoin黑客工具

在進入詐騙網站后，用戶會被要求提供他們的Pokemon Go用戶名和希望獲得的游戲幣數量。到目前為止，我們尚未發現要求用戶提供Pokemon Go密碼的騙局。雖然一些詐騙網站聲稱具有更多功能，但一般情況下，網站會在播放一段視頻后要求用戶進行"身份驗證"。

這個驗證流程會要求用戶填寫調查表、安裝應用或注冊服務。但現實是，即便用戶按照說明進行操作，也得不到免費的 PokeCoin。而詐騙分子會因為用戶點擊參與的加盟聯網計劃而獲利。根據詐騙短網址的統計顯示，每個這樣的鏈接都被上千個用戶點擊過。

圖2.PokeCoin騙局要求用戶進行身份驗證

有些騙局要求用戶在社交媒體上（Twitter或Facebook）手動分享信息來獲取免費的 PokeCoin。需要了解的是，無論用戶分享多少次，他們都不會收到任何免費的 PokeCoin。賽門鐵克安全團隊已經在社交媒體網站上發現了數百條這類包含各種網址的消息。

賽門鐵克在2016年互聯網安全威脅報告中指出，在2015 年，類似的手動分享騙局在所有社交媒體詐騙事件中占比 76%。

發現Pokemon Go 木馬版本應用

在Pokemon Go發布首周，該應用只在美國、澳大利亞和新西蘭上市。由于沒有正式登陸大多數地區和國家，這促使Android設備或越獄版iPhone用戶尋找非官方渠道來下載該游戲。

網絡罪犯也抓住了用戶的心理和需求，針對Android設備創建了木馬版本。賽門鐵克已經發現，惡意軟件開發者將遠程訪問木馬 （Android.Sandorat） 偽裝成Pokemon Go 應用，發布在多個下載網站和游戲論壇。當安裝木馬版本后，雖然玩家看到的是Pokemon Go的開始界面，并看起來沒有異樣，但是攻擊者已經獲得了用戶手機的完全訪問權限。

Pokemon Go 作弊工具

Pokemon Go玩家被發現嘗試在游戲中作弊，希望不在戶外走動就能夠抓住或孵出更多口袋妖怪。一些玩家想出了不少"創意"招數，例如，將手機粘貼在玩具火車、吊扇、寵物犬或無人機上，讓應用誤以為他們在移動。

還有一些玩家在root的Android設備或越獄版iPhone上安裝可以假冒GPS位置的應用，讓Pokemon Go誤以為用戶在移動，從而獲得稀有口袋妖怪。盡管我們還沒有發現攻擊者將惡意軟件偽裝成GPS位置假冒程序，但隨著Pokemon Go用戶群的增長，這種情況將會發生。

訪問權限和隱私風險

不久前，安全人員意識到游戲制造商Niantic要求用戶給予各種權限，包括完全訪問用戶的Google賬戶，這讓Niantic在安全問題方面成為眾矢之的。Niantic公司表示，游戲只會訪問用戶的基本賬戶信息，并隨后發布了僅要求少數權限的應用更新版本。

即使在更新后，Pokemon Go仍然會生成大量的數據，例如位置信息和用戶移動模式等，如游戲隱私策略中提出。不僅如此，當用戶使用Pokemon Go Plus配套藍牙LE可穿戴設備時，被收集的用戶數據可能會進一步增加。賽門鐵克安全團隊的研究發現，部分藍牙LE設備會出現被跟蹤或泄露數據的風險。由于Pokemon Go Plus尚未推出，現在我們還無法確定該設備是否會面臨相同的風險。

現實生活中的安全風險

Pokemon Go的最大亮點之一在于鼓勵玩家探索戶外環境，然而我們也看到一些關于該游戲引發危險事件的報道，例如有些玩家因為沒有注意路面而受傷等。此外，由于Pokemon Go游戲場景中包括Pokéstops，能夠吸引眾多用戶前往該地點，這也給犯罪分子帶來了可乘之機。犯罪分子能夠使用引誘功能（Lures）將目標受害者引誘到特定位置，從而實施犯罪。我們建議玩家在享受游戲的同時注意周圍環境，避免獨自前往偏僻或光線昏暗的地區。

賽門鐵克安全小貼士：

為了更輕松更安全地享受游戲帶來的樂趣，賽門鐵克建議用戶采取以下建議：

• "不要從非官方市場下載Pokemon Go - 網絡攻擊者通常使用這些站點將惡意軟件偽裝成合法應用；
• "安裝更新版Pokemon Go -更新后的Pokemon Go不會請求完全訪問 Google 賬戶；
• "遠離游戲作弊工具 - 這類工具很有可能具有欺詐性或包含惡意軟件；
• "及時更新智能手機的固件，防止漏洞被利用；
• "為Pokemon Go賬戶設置安全性強的唯一密碼；
• "密切注意應用所請求的權限；
• "安裝一款合適的移動安全應用，比如諾頓，保護設備和數據安全。

在復雜多變的網絡空間中，我們將會時常面臨各種未知的網絡威脅，但這不意味著用戶應該遠離新的科技和新鮮事物。當用戶了解所可能面臨的風險并擁有一定的防范意識，那么GO，抓捕更多口袋妖怪吧。

原文發布時間為：2016年7月18日

本文來自云棲社區合作伙伴至頂網，了解相關信息可以關注至頂網。

總結

以上是生活随笔為你收集整理的Pokemon Go玩家或成为下一个网络攻击对象 赛门铁克揭示潜在安全威胁的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。