瘋玩《Pokemon Go》必看！7大安全準則收服精靈更安心

科技中心／綜合報導

《Pokemon Go》在全球引爆神奇寶貝熱潮，除了紐澳美區正式上架外，其他地區等不及的玩家們，早已用各種方式破解取得下載管道。《Pokemon Go》超高人氣也成了網路犯罪的溫牀，賽門鐵克資安團隊已發現了針對此遊戲的社交媒體詐騙和木馬版本，同時也提供玩家七大注意事項以維護自身隱私與設備安全。

狀況一、免費PokeCoin騙局

在《Pokemon Go》中，玩家可購買「PokeCoin」虛擬貨幣，並用來換取遊戲中虛擬道具，例如引誘精靈的薰香或孵化稀有精靈的蛋。部分玩家希望繞過應用程式內的購買機制，嘗試在網路上搜索打折或免費的PokeCoin。 不幸的是，有網路詐騙罪犯已盯上這樣的玩家。

如果玩家搜索「Pokemon Go免費幣產生器」，就會找到典型的調查騙局的連結，詐騙罪犯主要通過在社交媒體網站上發帖，或者發佈所謂的能夠證明PokeCoin駭客工具有效的視頻來實施詐騙。

▲詐騙網站要求使用者點擊確認身份，纔可以訪問實際並不存在的PokeCoin駭客工具。

在進入詐騙網站後，使用者會被要求提供他們的《Pokemon Go》使用者名和希望獲得的遊戲幣數量。雖然但一般情況下，網站會在播放一段影像後要求使用者進行「身份驗證」，驗證流程將會要求使用者填寫調查表、安裝應用或註冊服務。事實上，即便使用者按照說明進行操作，也得不到免費的PokeCoin。詐騙集團會因爲使用者點擊參與的加盟聯網計劃而獲利。根據詐騙短網址的統計顯示，每個這樣的連結都被上千個使用者點擊過。

▲PokeCoin詐騙要求使用者進行身份驗證。

有些詐騙要求使用者在社交媒體上（Twitter或Facebook）手動分享資訊來獲取免費的PokeCoin。玩家需要知道的是，無論使用者分享多少次，都不會收到任何免費的PokeCoin。 賽門鐵克資安團隊已經在社交媒體網站上發現了數百條這類包含各種網址的消息。賽門鐵克在2016年網路安全威脅調查報告中指出，在2015年類似的分享詐騙在所有社交媒體詐騙事件中佔比 76%。

狀況二、發現《Pokemon Go》木馬版本應用

《Pokemon Go》由於目前沒有正式開放大多數地區和國家，誘使Android或越獄版iPhone使用者尋找非官方管道來下載遊戲。網路罪犯也抓住了使用者的心理和需求，針對Android設備建立了木馬版本。賽門鐵克發現惡意軟體開發者將遠端存取木馬（Android.Sandorat）僞裝成《Pokemon Go》應用，發佈在多個下載網站和遊戲論壇。

當安裝木馬版本後,雖然玩家看到的是Pokemon Go的開始介面，並看起來沒有異樣但是攻擊者已經獲得了使用者手機的完全存取權限。

狀況三、《Pokemon Go》作弊工具

玩家被發現嘗試在遊戲中作弊，希望不在戶外走動就能夠抓住或孵出更多精靈。 一些玩家想出了不少「創意」招數，例如：將手機粘貼在玩具火車、吊扇、寵物犬或無人機上，讓應用誤以爲他們在移動。

還有一些玩家在root的Android設備或越獄版iPhone上，安裝可以假冒GPS位置的應用，讓《Pokemon Go》誤以爲使用者在移動，從而獲得稀有精靈。儘管尚未發現攻擊者將惡意軟體僞裝成GPS位置假冒程式，但隨着《Pokemon Go》使用者羣的增長，這類情況未來將可能發生。

狀況四、存取權限和隱私風險

安全人員意識到遊戲製造商Niantic要求使用者給予各種許可權，包括完全訪問使用者的Google帳戶，這讓Niantic在安全問題方面成爲衆矢之的。Niantic公司表示，遊戲只會訪問使用者的基本帳戶資訊，並隨後發佈了僅要求少數許可權的應用更新版本。

即使在更新後，《Pokemon Go》仍然會生成大量的資料，例如：位置資訊和使用者移動模式等。 不僅如此，當使用者使用《Pokemon Go》Plus配套藍牙LE可穿戴設備時，被收集的使用者資料可能會進一步增加。賽門鐵克資安團隊的研究發現，部分藍牙LE設備會出現被跟蹤或泄露資料的風險。由於《Pokemon Go》Plus尚未推出，還無法確定該設備是否會面臨相同的風險。

狀況五、現實生活中的安全風險

《Pokemon Go》最大亮點爲鼓勵玩家探索戶外環境，《Pokemon Go》引發意外事件的新聞報導層出不窮。 由於《Pokemon Go》遊戲場景能夠吸引衆多玩家前往指定地點，也給犯罪分子帶來了可乘之機。犯罪集團能夠使用引誘功能（Lures）將目標受害者引誘到特定位置，進而實施犯罪。建議玩家在享受遊戲的同時注意周圍環境，同時避免獨自前往偏僻或光線昏暗的地區。

賽門鐵克建議玩家七大安全須知：

1.不要從非官方市場下載《Pokemon Go》 — 網路攻擊者通常使用這些網站將惡意軟體僞裝成合法應用。

2.安裝更新版《Pokemon Go》—更新後的《Pokemon Go》不會請求完全拜訪Google 帳戶。

3.遠離遊戲作弊工具 — 這類工具很有可能具有欺詐性或包含惡意軟體。

4.及時更新智慧手機的固件，防止漏洞被利用。

5.爲《Pokemon Go》帳戶設置安全性強的唯一密碼。

6.密切注意應用所請求的許可權。

7.安裝一款合適的手機安全應用軟體，保護設備和資料安全。

在複雜多變的網路世界，使用者時常面臨各種未知的網路威脅，但這不意味着民衆該遠離新的科技和新鮮事物。當使用者充分了解所面臨的風險並擁有一定的防範意識，那麼GO！去收服更多精靈吧！