Tenable ブログ
ブログ通知を受信するCash App の詐欺:日和見主義的な詐欺師、合法的なプレゼントキャンペーンを利用する
詐欺師は YouTube 動画で偽の Cash App ジェネレーターを宣伝する一方、偽のリクエストやマネーフリッピング、モバイルアプリケーションの紹介などを通じて、Twitter や Instagram の無防備な Cash App ユーザーを標的にしています。以下の必読情報をご一読ください。
Squareが提供する人気のピア・ツー・ピア (P2P) の決済サービスアプリケーションであるCash Appは、2013年後半の登場以降、着実に成長を続けています。このサービスの成長は、様々なソーシャルメディアプラットフォーム上の同社ブランドに関わる人に現金をプレゼントする、プロモーションマーケティングキャンペーンによって促進されています。これらのプロモーションの成功は、結果として様々な詐欺を働いてソーシャルメディアユーザーの苦労して稼いだお金を巻き上げる、大勢の詐欺師をつけあがらせています。
数字を見ると、なぜ詐欺師にとってCash Appが非常に有望なターゲットであるのかが簡単にわかります。2019年8月のMarketWatchの記事によると、Cash Appは2019年7月に240万回もダウンロードされました。同記事は、2013年の開始以来Cash Appは5,980万回ダウンロードされており、最大の競合であるVenmoの5,270万ダウンロードを上回っていると指摘しています。
Lil Bが「したから」という理由であろうと、Travis Scottが行ったナンバーワンのアルバムの座を獲得するためのプレゼントプロモーションの一環であろうと、200人のラップアーティストが曲の歌詞でアプリの名前を取り上げ、アプリを使用してファンにお金を与えたことで、音楽はCash Appの人気を高める役割を果たしました。
一部の消費者向けブランドも、このサービスを使用したマーケティングキャンペーンを開始しています。例えばバーガーキングは、Cash Appを利用したプレゼントをちらつかせてWhopper Loansのプロモーションを開始しました。
学生ローンを借りた?あなたの$cashtagは?
— バーガーキング(@BurgerKing)2019年5月22日
この2部構成シリーズでは、2019年7月から9月にかけてこれらの詐欺師を調査する中で明らかにしたプラクティスについて詳しく説明します。この調査は、こうした詐欺すべての包括的な概要を示すものではありません。 むしろ、特定のアプリケーションの人気と関心を狙った詐欺師グループの行動傾向の分析です。
パート1では、Cash Appの人気急上昇がどのように便乗する詐欺師を誘引しているか、そしてTwitterやInstagramでの彼らの手口を探ります。パート2では、InstagramでCash App詐欺師が使用する戦術の詳細を説明するとともに、「フリーマネー」を稼ぎ、Cash Appを「ハッキング」する方法を提供すると主張しているYouTubeにホストされた動画を調べます。加えて、P2P決済サービスのユーザーが詐欺にあうのを回避する方法についてのガイダンスとアドバイスを提供します。
#CashAppFriday および #SuperCashAppFriday の景品
2017年以来、Squareはハッシュタグ#CashAppFridayおよび、一例ですが#CashAppWednesdayで、Cash Appユーザーに毎週プレゼントを提供しています。前提は非常にシンプルです。Cash Appは毎週金曜日に、#CashAppFridayまたは#SuperCashAppFridayを使用してInstagramやTwitter上でプレゼントについて投稿します。ユーザーは、ユーザーや企業が簡単にお金を送受信できるようにするための一意のIDである$cashtagを添付してストーリーに共有したり、投稿にリツイートや返信したりすることで、プレゼント企画に参加できます。当選者はランダムに選ばれ、金額を伏せてCash Appアカウントに入金されます。つい最近、同社は#SuperCashAppFridayという別のプレゼント企画を開始しました。総額で10,000~75,000ドルを提供し、100~500ドルをCash Appユーザーアカウントに入金しました。
#CashAppFridayは非常に人気があります。毎週Twitterで上位のトレンドの一つであり、それぞれのイベントで数千ものツイートを受信しています。
Instagramでは、最近の75,000ドルのCash AppプレゼントによりInstagramがその投稿へのコメントを制限し、これらのCash Appプレゼントがいかに人気かが示されました。
当然のことながら、Cash Appの正規のプレゼントは詐欺師の温床です。
#CashAppFriday 詐欺をシードする
Cash App詐欺師が最も簡単に見つかる場所は、#CashAppFridayおよび#SuperCashAppFriday期間中の、TwitterとInstagram上のSquareのCash Appソーシャルメディアアカウントへのリプライです。
Cash App詐欺師は、同じテーマでいくらか変化させた投稿をする傾向があります。 例えば「X」ドルを、このツイートをリツイートした最初の「Y」人のユーザーにプレゼントします、といった具合です。また、ユーザーに自身の$cashtagを付けて返信するか、またはダイレクトメッセージ (DM) を送信するよう要求します。
ただしすべてのCash App詐欺師が、Twitterで直接@CashAppに返信するわけではありません。代わりに、彼らは「ハッシュタグに乗る」ことになります。なぜなら、Cash AppのハッシュタグはTwitterで常にトレンドになっているためです。
調査の過程で、Cash Appのハッシュタグをまったく使用していないCash App詐欺師にも遭遇しました。彼らの詐欺は通常、「cashapp名」($cashtag) を含めてリツイートした最初のX人のユーザーに対してプレゼントを贈るという同じ内容の約束を伴います。
リプライの確認
本物の@CashApp Twitterアカウントへのリプライと同様に、Cash App詐欺師からのツイートでも、リプライ上でユーザーからの大量の$cashtagが頻繁に見られます。これらのリプライの間に点在する形で、Cash App詐欺師が潜在的な被害者に対して「私にDMを送ってください」というメッセージを返信しているのがわかります。
興味深いことに、Cash App詐欺師の一部は他の詐欺アカウントを使って、自分の詐欺の周囲に本物感を作り出すために「いいね」したり、リツイート、または返信したりすることで、偽のエンゲージメントを促進しています。
代表例を紹介します。「Eva」という名前のCash App詐欺アカウントは、「最初の900人」へのプレゼントについてツイートしました。Evaへのリプライでは、3つの別々のCash App詐欺アカウントが返信し、主張を裏付けるCash Appのスクリーンショット付きで、このオファーが本物であると主張しました。ここでいくつかの危険信号が点灯します。
まず、スクリーンショットには提示された金額である900ドルよりも小さい、または大きい金額が含まれています。第二に、スクリーンショットは詐欺師の視点からのものであり、これは普通ではありません。なぜなら、ここにはその金額が「即座に銀行口座に入金された」と書かれているためです。これは、お金がCash AppからCash Appユーザーにではなく、銀行口座に送金されたことを意味します。私が観察したほとんどのCash App詐欺師は、不特定のユーザーへの送金例を示すスクリーンショットを投稿する傾向があるため、これは普通ではありません。
最後に、そして最も重要なことですが、提示されている金額とプレゼントの対象となるユーザーの数をよく見てください。この場合、900人のユーザーに対して900ドルであり、これは810,000ドルに相当します。Cash App自体がプレゼントを行う場合、通常はより控えめな金額を提示します。場合によっては1人あたり5ドルという低額です。#SuperCashAppFridayのようにプレゼントの金額がより高いプロモーションでも、オファーが総額で10,000〜75,000ドルを超えることはありません。これではまったく計算が合いませんし、ほとんどのCash App詐欺のプレゼントでは、計算が合うことは決してありません。
上記のスクリーンショットに見られるように、別のCash App詐欺師が、他のCash App詐欺師の縄張りに侵入する場合もあります。
このようなCash App取引のスクリーンショットに加えて、Cash App詐欺師から受け取ったと主張する多額の現金を持っている人の動画や画像を、Cash App詐欺師がお気に入りやリツイートしているのを見てきました。確認できていませんが、これらのアカウントもまた、詐欺師により所有され、操作されていると思われます。
キャッシュフリッピング:時代を超えた詐欺
これらのいわゆるCash App詐欺プレゼントの背後には、時代を超えた詐欺が存在します。これは、「5ドル札1枚に10ドル札2枚」と呼ばれるアボットとコステロの寸劇の中で説明されています。疑うことを知らないコステロが、5ドル札1枚を10ドル札2枚と両替できるかとアボットから尋ねられるところから始まり、その結果アボットは15ドルの利益を得て、コステロは15ドル損をします。
Cash App詐欺の場合、彼らはマネー(またはキャッシュ)フリッピングと呼ばれるものの青写真に従います。被害者は詐欺師から一定の金額を提供するよう求められます。金額は少なければ10ドルから多くて1,000ドルの範囲内です。詐欺師は、何らかの「ソフトウェア」を持っているか、またはカスタマーサービス担当者であるため、使用する決済サービスが何であろうと(この場合はCash App)金額を変更でき、投稿された後に取引を変更(または「フリップ」)できると主張します。彼らが被害者に要求するのは、彼らの「サービス」に対して少しの分け前を提供することだけです。
マネーフリッピングはソーシャルメディアにとって新しいものではありません。何年もの間、Twitter、Facebook、InstagramやSnapchatで浸透しています。この特定の形式のマネーフリッピングが極めて非道で、かつ成功を収めているのは、有名な会社(SquareとそのCash App製品)からの正規のプレゼントの提案を活用し、この正規のプレゼントに選ばれることを期待している人々を犠牲にしているためです。思い通りにならない指標が彼らの成功を示す中で、正規のCash Appのプレゼントは、他のマネーフリッピングをしている詐欺師が選ぶ商材をCash Appに切り替えるのを促進しているようです。
そして DM を送る
ユーザーがこれらのCash App詐欺師にDMを送信するよう要求された場合、プレゼントを受け取る前にもう1つ必要なステップがあることを知らされます。
Cash App詐欺師はCash Appの「カスタマーサービス担当者」を名乗り、「私のシステムから取引をフリップ」する方法について話します。次に、高い金額にフリップできる金額の例を、低い金額(例:50ドル)から始めて高い金額(例:100ドル)まで説明します。彼らはまた、証拠があると主張します。さらなる質問で迫ると、詐欺師は返答をやめます。
ユーザーが詐欺に同意した場合、最初の支払いをCash App詐欺師に送るように求められます。現実には、Cash App詐欺師は支払いを受け取り、最初の支払いを受け取った後はユーザーに返答することはなく、ユーザーをのけ者にします。ただし場合によっては、一部のCash App詐欺師は最初にユーザーの信頼を得るために、比較的小さな「フリップ」を提供する可能性があると推測します。例えば、彼らは「フリップ」が機能することを証明するために、2ドルを20ドルに変えるという約束を実際に果たすかもしれません。これは被害者の信頼を得るための、Cash App詐欺師の観点からの最小限の投資です。そこから、詐欺師はユーザーに50ドルから100ドルまでの、より高い金額を送金してみるように依頼します。このタイプの信頼を獲得しながら行うフリップは、かなり珍しいです。私の推定では、大多数のユーザーは一定の金額をCash App詐欺師に送金した後、二度と彼らから連絡を受けることはありません。
ギフトカード詐欺師がCash Appのプレゼントに新しい棲家を見つける
私が観察した他のケースでは、一部のCash App詐欺師は、受取人にウェブサイトまたは実店舗に行ってプリペイド「ギフト」カードを購入するよう依頼することで、彼らの信頼を得るよう求めます。
米国連邦取引委員会(FTC)の2018年の記事によると、詐欺師からのギフトカード支払いの請求が2015年と比較して信じがたいことに270%増加していることが観測されました。したがって、この残存者がCash App詐欺の世界に流れ込むのは驚くことではありません。なぜなら、$cashtagと電話番号が関連付けられたプラットフォームを使用してCash App詐欺師を特定するよりも、ギフトカードからの資金の盗難を追跡するほうがはるかに難しいためです。
紹介ボーナスの乱用
ギフトカードのほかに、別のCash App詐欺では、ユーザーがDosh Cashのようなキャッシュバックサービスや、価格下落モニタリングサービスであるWaldoにサインアップするのと引き換えに「祝福」を約束します。どちらのサービスも SquareのCash Appとは関係ありません。
Dosh CashとWaldoは紹介を奨励しており、紹介リンクまたはコードを利用してサインアップし、クレジットカードかデビットカードを関連付けたユーザーには、1紹介ごとに5ドルを提供します。上記のツイートに見られるように、あるCash App詐欺師は両方のサービスにサインアップするようユーザーを説得しました。DMでこのユーザーが「私は自分がやるべきことをやったので、あなたもそうする必要がある」と「前回のリンクでそうすると言ったのに、あなたは私にCash Appしませんでした」と言っているのがわかります。この人物が契約したCash App詐欺師は、この特定のスキームを少なくとも2018年から使用しています。
Cash App 詐欺師からの入金リクエスト
#CashAppFridayでは通常、Cash Appは自身のツイートまたはInstagramの投稿に返信するユーザーに対し、ランダムに送金します。本物の「Cash Appの祝福」を受け取った幸運なユーザーは、スクリーンショットを共有して同社に感謝することがあります。
上記のスクリーンショットは、本物のCash Appアカウントから実際に5ドルを受け取ったユーザーとの本当のやり取りを示しています。ここでの$cashtagが$cashappであることから、このリクエストは本物のCash Appアカウントから来たものであることがわかります。
それでも、Cash App詐欺師が同社になりすますことを防いではいません。疑いを持たないユーザーに送金する代わりに、Cash App詐欺師はCash Appの「リクエスト」機能を使用して、「検証」目的でユーザーにお金を要求します。
上記の例では、ユーザーは最初「祝福」を受けたと思いましたが、代わりに500ドルを受け取るための「検証」のために、10ドルを送るように求められました。この事例のCash App詐欺師は、本物のCash Appと同じプロフィール写真を使用していましたが、名前は同じではありませんでした。
別の事例では、Cash App詐欺師は同じく「リクエスト」機能を使用しましたが、アカウントのプロフィール画像は異なり、名前にはCashという単語の「C」と「ash」の間にスペースが入っていました。Cash Appは名前のなりすましを抑制するため、ユーザーがフルネームに「Cash App」を割り当てることを防いでいます。にもかかわらず、それは詐欺師が回避策を見つけることを完全には止めていません。
なりすましはCash App詐欺でも生き残る
私は以前TikTokのようなソーシャルメディアアプリでのなりすまし現象について報告しました。そのため、詐欺師がCash App詐欺においていくつかの方法でなりすまし戦術を使用しているのを見ても、驚くことはありません。Cash App詐欺で最も明らかななりすまし犯は、本物のCash Appを装う人や、Cash Appのカスタマーサービス担当者を名乗る人たちです。
一部のなりすましアカウントは、Cash Appの公式画像資産を使用します。その他は、似ているがまったく同じではない資産を使用します。
上記のなりすまし者のもう1つの興味深い側面は、Apple Pay経由の支払いも受け入れるという主張です。これには、残高が2,000ドルを超えるApple Cashカードのスクリーンショットが含まれています。Apple Cashは、VenmoおよびCash Appと競合するように設計されたApple独自のP2P製品です。
Cash Appの担当者を名乗る一部のなりすまし犯は、実在の人物の写真を使用しています。上記の場合、このなりすまし犯は自分自身をNickoli Foxworthと呼んでいます。実際には、NickoliはPavol Krúpaというチェコスロバキアの起業家の写真を使用しています。
もしCash App詐欺師がTwitterとSquareのCEOであるJack Dorseyになりすましていないなら、なりすましが完了したとは言えません。
このTwitterでのJack Dorseyのなりすまし犯は、Instagramでも同じく詐欺を仕掛けており、そこでは3,000人近くのフォロワーを獲得していました。なりすまし犯は、フォロワーが16,000人の時に「ハッキングされた」と主張しましたが、Instagramが以前のなりすましページを削除した可能性が高いです。
いわゆる「Cash App担当者」とJack Dorseyのなりすまし以外では、Cash App詐欺師の多くは、盗まれた実在の人物の写真や画像を使用してアカウントを作成している可能性があります。
例えば、あるCash App詐欺師は写真を使用して、Valentina Adallという名前のInstagramモデルになりすましていました。
12,000人のフォロワーを持つそのCash App詐欺師は、#CashAppFridayのオファーを投稿します。ユーザーが彼らにDMを送信すると、Cash AppまたはApple Payで取引を「より大きな金額」に変更できると、同じように言葉巧みに説明されます。
この事例では、Cash App詐欺師はすぐに300ドルを要求しています。これは、ほとんどのCash App詐欺師が最初に要求するよりもはるかに多い金額です。
Valentina AdallはTwitterアカウントを持っており、彼女はそれが「唯一のアカウント」であると自身のプロフィールに明記しています。これは、彼女が以前Twitterでなりすまし被害にあったことを暗示してします。
彼女はCash App詐欺師のなりすましアカウントを知っており、二人はそっくりで「双子かもしれない」と、彼らのツイートの1つに皮肉っぽくリツイートしました。
すべてのなりすましが、直接的ななりすましとは限りません。ハリウッドドールズのメンバーであるFamous Oceanの写真とビデオコンテンツを使用しているが、「Essence」を名乗っているCash App詐欺アカウントを見つけました。
例えば、「Essence」を名乗るCash App詐欺アカウントが使用するアバター画像は、Famous OceanのInstagramページから引用されました。
別の例では、Patrick Bowkerと名乗るCash App詐欺師は、「cashappを介して困っている人を祝福しています」と主張しました。
この場合、Patrick Bowkerは元GoogleのCEOおよび会長のEric Schmidtの画像を使用しています。
#CashAppFriday以外では、Cash App詐欺師は、Cash Appと直接提携していないが、たまたまCash Appを送金プラットフォームとして利用しているプレゼントもターゲットにしています。「Prettyboyfredo」という名前で人気のあるYouTubeユーザーであるAlfredo Villaは、ほぼ40万人近いTwitterのフォロワーに対して、彼のTwitterアカウント上でCash Appのプレゼントを提供しています。
人々はこれらのプレゼントを見ると、$cashtagをつけて即座に返信します。$cashtagをつけて返信すると、詐欺師がこれらの疑いを持たないユーザーをターゲットにするのに必要な情報を、彼らに提供することになります。
あるCash Appユーザーが@Prettyboyfredoでツイートし、プレゼントについて尋ね、彼らが受け取った20ドルのCash Appリクエストのスクリーンショットを投稿しました。メッセージには「当選おめでとうございます。1,000ドルを獲得するために実在のアカウントであることを確認しましょう」と記載されていました。これは先ほど述べた、入金リクエストを送信する偽のCash Appアカウントに似ています。
上の画面に示されているように、これらの提携されていないCash Appプレゼントは成功しているようです。したがって、たとえCash App詐欺師がなりすましのTwitterアカウントを作成しなくても、単にCash Appを通じて偽装アカウントを作成するほうが、ずっと簡単であることがわかりました。
Cash Appの商標、CEOや著名人に直接なりすます場合を除くと、Cash App詐欺師のほとんど分は盗んだ画像や動画コンテンツを利用して偽の人物を生み出していると考えて差し支えないと思います。
Cash Appフィッシング
調査の間に、私はCash Appユーザーに対するフィッシングの試みにも遭遇しました。@dropyourcashtagというユーザーはハッシュタグ#CashAppFridayに便乗し、ユーザーにプレゼント当選のDMを送信し、支払い情報をウェブサイトのリンクとともに送って「アクセスして受け取ってください」と言いました。
ほとんどのアプリやサービスとは異なり、Cash Appはパスワードを要求しません。代わりに、ユーザー名としてEメールアドレスまたは電話番号を要求します。これにより、ワンタイムパスワード (OTP) としても知られる、一度だけ使用可能な「ログインコード」が要求されます。下図に示すように、コードはユーザーのEメールアドレスまたは携帯電話に送信されます。
したがって、Cash Appのフィッシングウェブサイトは、通常のフィッシングウェブサイトとは異なって見えます。
上の例では、Cash Appフィッシングウェブサイトは、cashtagの「$cash」(Cash Appとは無関係です)が「あなたのCashappに1,000ドルの入金を開始しました」と前置きしています。
Cash AppのフィッシングウェブサイトはLet’s Encryptから入手した有効なSSL証明書を使用し、Eメールまたは携帯番号を要求します。その後に、ユーザーにOTPを提供するよう求める2つ目の画面が表示されます。無効なOTPを入力すると、エラーメッセージが表示されます。これは、ユーザーに有効なOTPを確実に提供させるために、何らかの種類の検証が行われている可能性を暗示しています。今回の調査ではプライバシー保護のため、OTPは提供しませんでした。
しかし、一人のTwitterユーザーがこれらのCash Appフィッシングウェブサイトのいずれかに情報を提供し、「支払いに失敗しました」と表示する偽のWebページに到達したことを確認しました。このエラーメッセージは、いわゆるプレゼントの送金が詐欺ではなく、単に技術的な問題があったにすぎないとユーザーに信じ込ませる可能性があります。
私は少なくとも2つのCash Appフィッシングのリンクを特定でき、いずれもBitlyのURL短縮サービスを使用していました。統計データによると、これら2つのリンクはそれぞれ500回以上クリックされており、そのほとんどが米国のユーザーによるもので、他に英国、ナイジェリア、フィリピン、オーストラリア、グアテマラからのクリックが数回ありました。Cash Appは米国外でも利用できますが、#SuperCashAppFridayおよび#CashAppFridayのプレゼントは米国の参加者に限定されています。
Tenableは公開に先立って、調査結果をCash Appに通知しました。Cash Appの広報担当者から次の声明が出されました。
「Cash Appと関係がある主張するソーシャルメディアアカウントを認識しています。TwitterおよびInstagramと連携し、当社の知的財産権を侵害(例:許可なく当社の名前やロゴを使用)したり、当社の顧客を利用しようとしたりするすべてのアカウントを無効にしています。
念のため、Cash Appチームは顧客に送金を依頼することも、アプリの外部で顧客にPINまたはサインインコードを要求することもありません。また、現在Cash Appの公式Twitterアカウントは@cashappと@cashsupportの2つだけで、どちらにも検証済みを示す青いチェックマークが付いています。詐欺の被害に遭ったと思われる場合は、すぐにアプリまたはウェブサイトからCash Appサポートまでご連絡ください。」
このシリーズのパート2では、Cash App詐欺師がInstagramでも同様に詐欺を働く方法を詳しく示し、アプリをダウンロードすることでCash Appを介してフリーマネーを稼ぐ方法を紹介すると主張しているYouTube動画を詐欺師がどのように作成しているのか探ります。パート2には、ユーザーがこういった策略に騙されないようにするためのヒントとベストプラクティスも含まれています。
関連記事
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning