送金アプリ「Cash App」を悪用した詐欺行為のリスクとは?
Cash Appは毎週金曜日に、#CashAppFridayまたは#SuperCashAppFridayを用いて、InstagramやTwitter上でプレゼントに関する投稿を行う。ユーザーは、お金を送受信できるようにするための一意のIDである$cashtagを添付してストーリーに共有したり、投稿にリツイートや返信したりすることで、プレゼント企画に参加できる。当選者はランダムに選ばれ、金額を伏せてCash Appアカウントに入金される。
ユーザーが詐欺師にDMを送信するよう要求された場合、プレゼントを受け取る前にもう1つ必要なステップがあることを知らされる。詐欺師はCash Appの「カスタマーサービス担当者」を名乗る。
ユーザーが詐欺に同意した場合、最初の支払いを詐欺師に送るように求められるが、詐欺師は最初の支払いを受け取った後はユーザーに返答することはない。なお、一部の詐欺師はユーザーの信頼を得るため、2ドルを20ドルに変えるという約束を実際に果たすそうだ。
Tenableによると、Cash Appの詐欺師が最も簡単に見つかる場所は、#CashAppFridayおよび#SuperCashAppFriday期間中の、TwitterとInstagram上のSquareのCash Appソーシャルメディアアカウントへのリプライだという。
Cash App詐欺師は、「このツイートをリツイートした最初のY人のユーザーXドルをプレゼントします」といった一文で、XとYの数値を変更するなど、同じテーマで変化させた投稿をする傾向がある。そして、ユーザーに自身の$cashtagを付けて返信するか、またはダイレクトメッセージを送信するよう要求する。
Tenableによると、すべての詐欺師がTwitterで直接@CashAppに返信するわけではなく、「ハッシュタグに乗る」こともあるという。なぜなら、Cash AppのハッシュタグはTwitterで常にトレンドになっているからだ。また、調査の過程で、Cash Appのハッシュタグをまったく使用していないCash App詐欺師にも遭遇したという。
Cash App詐欺師の一部は他の詐欺アカウントを使って、「いいね」したり、リツイート、または返信したりすることで、偽のエンゲージメントを促進しているが、提示されている金額とプレゼントの対象となるユーザーの数をよく確認する必要がある。
Cash App自体がプレゼントを行う場合、通常はより控えめな金額を提示します。場合によっては1人あたり5ドルという低額で、オファーが総額で10,000〜75,000ドルを超えることはないという。つまり、巨額のオファーのプレゼントには注意せよということだ。
また、記事では、Cash Appの担当者を名乗る一部のなりすまし犯は、実在の人物の写真を悪用していることも指摘している。例えば、なりすまし犯は自身をNickoli Foxworthと呼びつつ、はPavol Krúpaというチェコスロバキアの起業家の写真を悪用していた。このTwitterにおけるJack Dorseyのなりすまし犯は、Instagramでも同様の詐欺を仕掛けており、そこでは3,000人近くのフォロワーを獲得していたという。
Tenableはブログの公開に先立ち、調査結果をCash Appに通知したところ、Cash Appの広報担当者から次の声明が出された。
「Cash Appと関係がある主張するソーシャルメディアアカウントを認識している。TwitterおよびInstagramと連携し、当社の知的財産権を侵害(例:許可なく当社の名前やロゴを使用)したり、当社の顧客を利用しようとしたりするすべてのアカウントを無効にしている。
Cash Appチームは顧客に送金を依頼することも、アプリの外部で顧客にPINまたはサインインコードを要求することもない。また、現在Cash Appの公式Twitterアカウントは@cashappと@cashsupportの2つだけで、どちらにも検証済みを示す青いチェックマークが付いている。詐欺の被害に遭ったと思われる場合は、すぐにアプリまたはWebサイトからCash Appサポートまで連絡ください」
