Liputan6.com, Jakarta - Pokemon Go telah menarik perhatian masyarakat dunia. Melihat kehebohan ini, para penjahat siber memanfaatkannya sebagai peluang untuk menciptakan penipuan media sosial dan mengembangkan versi yang telah terinfeksi virus Trojan demi mengambil keuntungan dari para pemain.
Sementara pengguna, banyak yang mencari cara untuk melakukan cheat terhadap Pokemon Go, seperti memalsukan lokasi GPS. Aplikasi resminya juga diserang dengan kontroversi mengenai masalah privasi terkait izin yang dimintanya.
Berdasarkan fenomena tersebut, perusahaan keamanan Symantec meneliti masalah-masalah keamanan terkait Pokemon Go dan bagaimana cara melindungi perangkat pengguna dari hacker.
Penipuan PokeCoin
Untuk diketahui, Pokemon Go memiliki sistem in-game purchase, di mana para gamers dapat menggunakan uang asli untuk membeli mata uang virtual yang disebut PokeCoins.
Pemain dapat menggunakan PokeCoins untuk membeli item, seperti wewangian untuk memikat Pokemon ke lokasi mereka atau telur-telur yang dapat menetaskan Pokemon langka.
"Beberapa dari mereka mungkin mencoba untuk mengakali sistem ini dengan mencari PokeCoins yang telah didiskon atau gratis secara online. Sayangnya, para penipu telah mempersiapkan skenario ini," tulis Threat Researcher Symantec, Candid Wueest di blog resmi perusahaan.
Baca Juga
Advertisement
Jika seorang pengguna melakukan pencarian “Pokemon Go free coins generator”, mereka akan menemukan tautan-tautan yang mengarahkan mereka ke penipuan-penipuan survei klasik.
Tautan-tautan ini tersebar di seluruh internet, dari posting-an pada forum gim hingga situs-situs penipuan yang sengaja dibuat untuk menipu.
Mayoritas hasil pencarian tersebut adalah posting-an pada situs-situs media sosial atau video-video dengan bukti palsu yang menyatakan bahwa alat peretasan PokeCoin benar-benar berfungsi.
Setelah pengguna tiba di situs penipuan tersebut, para penipu menanyakan nama pengguna Pokemon Go dan jumlah koin yang diinginkan.
"Sejauh ini, tidak ada penipuan yang kami lihat meminta password Pokemon Go. Beberapa penipuan mengklaim memiliki fitur-fitur tambahan, seperti jaminan anti-ban special. Namun, situs penipuan tersebut hanya memutarkan sebuah video sebelum menanyakan pertanyaan akhir: human verification," terang Wueest melalui keterangan resminya, Jumat (15/7/2016).
Proses verifikasi ini meminta pengguna untuk mengisi survei, menginstal aplikasi atau mendaftar suatu layanan. Jika pengguna mengikuti instruksi para penipu, mereka tidak mendapatkan PokeCoin gratis.
Terinfeksi Virus Trojan
Sebaliknya, para penipu tersebut mendapatkan uang dari partisipasi pengguna dalam survei melalui suatu program afiliasi. Menurut statistik penipuan melalui URL-URL yang disingkat, beberapa ribu orang telah mengklik setiap tautan tersebut.
Para penipu lain meminta pengguna untuk secara manual membagikan pesan di Twitter atau Facebook agar mendapatkan PokeCoins gratis. Namun, tidak peduli berapa kali pengguna menyebarkan pesan tersebut, mereka tidak akan pernah menerima PokeCoins apapun.
"Kami telah menemukan ratusan pesan-pesan ini dengan beragam URL yang diposting di situs-situs media sosial. Sebagaimana yang tercantum dalam 2016 Symantec Internet Security Threat Report, penipuan Manual Sharing serupa mencapai 76 persen dari seluruh penipuan media sosial di tahun 2015," ujar Wueest.
Pokemon Go Terinfeksi Virus Trojan
Mengingat Pokemon Go belum dirilis secara global, para pengguna perangkat Android atau iPhone yang telah di-jailbreak mengunduh aplikasi tersebut dari sumber-sumber tidak resmi.
Hacker kemudian memanfaatkan permintaan ini, dan menciptakan versi gim yang telah diinfeksi virus Trojan, menargetkan perangkat-perangkat Android. Pencipta-pencipta malware ini menyamarkan Trojan yang diakses dari jarak jauh (Android.Sandorat) sebagai Pokemon Go.
Ancaman ini didistribusikan ke berbagai situs unduhan dan forum gim. Jika versi berbahaya ini terinstal, versi ini tetap menampilkan layar awal Pokemon Go, dan membuat pengguna menganggap bahwa tidak ada yang salah. Namun, ancaman tersebut memberi hacker akses penuh ke smartphone pengguna.
Advertisement
Cheaters
Pokemon Go Cheaters
Di samping melakukan aktivitas yang berbahaya, para pemain ditemukan mencoba melakukan cheat terhadap game tersebut untuk menangkap atau menetaskan lebih banyak Pokemon tanpa harus berjalan-jalan di luar.
Beberapa pengguna telah menggunakan metode kreatif untuk melakukan hal ini, seperti menempel perangkat mobile mereka di kereta api mainan, kipas angin di langit-langit, anjing, atau drone untuk membuat aplikasi tersebut berpikir bahwa si pengguna sedang bergerak.
Niantic Labs selaku pengembang Pokemon Go, melarang bermain selama beberapa jam bagi para pemain yang menggunakan pemalsu GPS.
"Walaupun kami belum melihat penyerang menyamarkan malware mereka sebagai pemalsu GPS , namun hal itu dapat saja terjadi seiring pertumbuhan pengguna Pokemon Go," imbuh Wueest.
Aplikasi ini tidak menggunakan penyematan sertifikat, yang berarti gim tersebut hanya memeriksa apakah sertifikat server terpercaya, tetapi tidak memeriksa apakah sertifikat itu adalah sertifikat asli.
Hal ini dapat memungkinkan seorang pengguna untuk menginstal sertifikat terpercaya yang diciptakan sendiri di ponsel mereka dan menghadang komunikasi dengan proksi man-in-the-middle (MITM) sederhana.
Meskipun metode ini tidak dapat digunakan untuk memulai serangan terhadap perangkat-perangkat jarak jauh, namun metode ini dapat digunakan untuk mengidentifikasi kerentanan pada backend API Pokemon Go, yang berpotensi membuat pengguna mengotomatisasi atau memodifikasi permintaan untuk mendapatkan lebih banyak benda.
(Isk/Why)