「どんな堅牢なシステムを構築しようが、最大のセキュリティホールは運用する人間である」よく言われる金言である
Qiita向けでの記事ではないかもしれないが、今回は「X(Twitter)の偽懸賞アカウント」がどういう仕組みなのか気になった愚か者が、ろくでもないことに足を突っ込む話であり、情報リテラシーが高い人には価値のない記事である。
突っ込んでみた結果、偽懸賞の手続きが人間心理の脆弱性を突いたソーシャルハックとしてよく出来ていると感じたため、その一連の経緯をSSと共に解説する。
懸賞とは
世の中には様々な懸賞の告知があふれている。人々は欲しいと思った懸賞に応募する
Xなら対象のツイートを「フォロー」する、「RT」する
よくある手順だ
懸賞の目的は販促だ。衆目を集め、自社名と製品を世に知らしめる。
そして通常の企業の懸賞ツイートは、自社製品の広告が目的だから当選者を発表し、送付したことを通知する。
当選者も当選したことを明らかにし、当選品のレビューを行ったりする。
偽懸賞アカウントへの突撃
いかにもなヤツへフォロー&RT
前述の販促のバックボーンが見えないのがそうだ
DM
・ダイレクトメッセージがくる。ここまではよい
・しかし偽懸賞アカウントはDMでLINEに誘導し、フレンド登録するようメッセージを投げかけてる
・LINEに登録してみる
Xのプロフィール画面を要求してくる。
更にはもっともらしい理由で「当選者発表はしない、投稿しないよう」言ってくる。
が、当たったと報告がなければ集客にもならないではないか…と思いつつ、プロフィール画面を送る
・アプリのインストール依頼
LINEにて商品提供のスポンサードのため、指定のサービスに登録してほしいと、という軽い依頼をしてくる。
まあこのくらいなら、とサービスへの登録を行い、登録完了のメッセージを送る
・有料サービスへの登録依頼
更に「当選枠3つのうち残り4人に選ばれました」とし「当選の期待値を煽り」さらに別のサービスへの登録を依頼してくる。
当選3人向けのうち残り4人に残ったとなれば、もしかしたら当選するんじゃないかという「欲」が後押しし、判断力を奪う
ここで有料サービスへの登録を依頼しているのが肝である。
ひとつ前のアプリインストールがここに効いてくる。
人間心理の脆弱性をついたアタックである
・「フット・イン・ザ・ドア」
・「コンコルド効果の損失回避バイアス」
が実行されている
最初に小さいお願いを達成してもらい、徐々に大きいお願いをする手法で心理学的な誘導
人間心理における一貫性の原理を利用したもので、人は一度自分の行動や態度を決めると
それを一貫させようとする傾向があるという原理である
最初に小さなお願いを聞いてもらえれば、相手は「自分の行動や態度に一貫性を持たせたい」
という気持ちから次の大きいお願いにも応じやすくなるというものである
営業やマーケティングなど、相手に何かをお願いする場面でよく用いられ
相手は「乗った方がお得だ」と判断しやすくなり、次の「お願い」にも応じやすくなる
損失を避けようとする心理的傾向で、これまでに投資した時間(や費用)の損失を恐れて
損失を拡大させるような判断をしてしまう「引くに引けないと」いう状況に自ら陥る現象である
・サービス登録の連絡
サービスの登録を行い、スクリーンショットを送る。
LINEのリンクはアフィリエイトリンクである
落選の連絡
落選の連絡が来る。質の悪いものだと、さらにサービス登録への誘導が続くケースもある
効果の検証
心理誘導
前述のように最初にアプリのインストールという心理障壁の低いものを依頼し、次に有料サービスへの登録を依頼する。
うまいと思ったのは、指定期日以内に解約すれば料金がかからないサービスへの登録を指定してきたことだ
応募したことを知らせて、その後解約すれば応募者に「損はない」と思わせ、登録への心理障壁を下げている
次に「当選」ではなく「抽選」に通過した、という言葉選びも上手いものである。
あくまでウソは言っていない、こちらが「当選するかも」と誤認しただけである。
これをフォローされたフォロワー全てに「抽選n人の枠に入りました」と通知し、サービス登録に誘導することで「もしかしたら」と思わせ次のステップに進ませ、サービス登録へ誘導する。
そして最終的には「落選」しましたと通知する。
最初に「告知しないよう」言い含めてあるので、当選者ゼロでも問題ない。Xには何も流れてこない。
誰にも知るすべはないという結果である
偽懸賞アカウントが取得するもの
よくある課金サービスの、登録誘導によるアフィリエイトの報酬額は、10%~20%程度が一般的だそうで、例えば月額1,000円の課金サービスであれば、初回登録時に100円~200円のアフィリエイト報酬が支払われます。
今回は2回目に有料サービスへの登録を依頼しています、これを仮に応募者100人で全員が登録したとすると
応募者 100人 * 3サービスの登録誘導で得られるアフィリエイト報酬を100円として
→ 100*300 → 30,000
これをアカウントを変え、懸賞品を変え、あらゆる層をターゲットに定期的に繰り返す…と規模に応じて結構な額になる。
しかも法的にもアウトでもグレーでもないため、実行側の心理ハードルも低いこともこれらを後押ししています。
※現金配布や物品配布を謳ったツイートでフォローやリツイートを集める行為は、現行の景品表示法の対象外です。(2024/01)
まとめ
LINE誘導するものは総じてNG
ものによっては即課金になることやカード・銀行口座情報の流出などがあるため、近寄らないに越したことはない。
利得表
▼ 自身:不快かつ時間の損失、騙されやすいユーザとしてリストに載る、時にクレジットカードの停止・変更手続きも必要になる、最悪、銀行口座などの情報が流出し別の犯罪に利用される
△ 相手:アフィリエイト報酬を得る、および騙されやすいアカウントのリスト生成→名簿業者への販売
△ 広告事業者:広告の成果をサービス提供者に通知し報酬を得る
▼ サービス提供者:広告費の無駄な流出
おわりに
X、インスタなどにも同様のスポンサー不明の懸賞アカウントが多数確認されており情報商材として流通してるんだろうなと感じたと共に、
自身も一歩間違えば世間を騒がす還付金詐欺と同じ轍を踏むことになりえる。
自戒と被害者減少を願い記事を残す
※カード登録をしていると、カード会社から不正利用ではないかの確認通知がきた