詐欺師がFacebook広告を利用してセキュリティに敏感な人物から約50万円を騙し取った手法とは？

by www.shopcatalog.com

近年では、オンライン上詐欺の手口が非常に巧妙になっていることが指摘されており、セキュリティに詳しい人が詐欺に遭ってしまうケースも報告されています。「セキュリティには注意していたにもかかわらず、洗練されたFacebookの詐欺広告で4000ユーロ(約50万円)を騙し取られてしまった」という体験談について、オランダでオンラインマーケティング・コンサルタント企業を経営するNiek van der Maasさんが述べています。

Niek/README.md at master · Niek/Niek · GitHub
https://github.com/Niek/Niek/blob/master/facebook-scam/README.md

Maasさんは、「私は全てのアカウントに2段階認証を設定し、パスワードマネージャーを使用しており、アカウントのセキュリティには敏感でした」と述べています。それなのに詐欺に引っかかってしまい、結果として約50万円近い金額を奪われてしまったことは、未だに信じがたいとのこと。

2020年9月のある日、MaasさんはFacebook上で「Tiktok Ads Business」という、TikTok上でマーケティングを行う企業の広告を発見しました。広告のスクリーンショットは撮影し損ねたそうですが、広告には「新規に契約した企業に対し、3000ドル(約32万円)分の広告を無料で提供する」と記されていたそうです。

オンラインマーケティング企業を運営しているMaasさんによると、「新しい広告主を獲得するために無料の広告クーポンを提供する」という手法はマーケティング業界では一般的だそうで、この広告を見た際に違和感を覚えることはなかったと述べています。また、「無料広告を3000ドル分も提供する」というサービスはかなり高額であるものの、TikTokが中小企業向けに提供する「TikTok Back to Business Program」というプログラムは総額100億円以上の広告クーポンを提供しており、この時点では詐欺だと感じることはありませんでした。

広告をクリックすると、「TikTok Ads Business」のAndroidアプリをインストールできるGoogle Playページが表示されました。実際にMaasさんが撮影したスクリーンショットを見ると、「TikTok Ads Business」アプリのダウンロード数は1万回以上で、1000件以上のレビューが記されており、平均評価は5点満点中4.6点と非常に高評価であることがわかります。よく見ると開発者名が「Develop App」である点や、メールアドレスの前半が「developgameonline」となっている点が不自然なものの、当時はそこまで気が回らなかったとMaasさんは述べています。

アプリをインストールすると、「TikTok Back to Business Program」を模したページが表示され、電話番号とメールアドレスを入力した後に「TikTokで使える広告クレジットを獲得するためにFacebookにログインしてください」と要求されたとのこと。

アプリを通じて会社用のFacebookアカウントにログインすると、アプリ内の残高に3000ドルが追加されました。TikTokが連絡するまで最大48時間かかると説明されたため、Maasさんは向こうからの連絡を待つことにしました。

しかし、2日後にMaasさんへ送られてきたのはTikTokからの連絡メールではなく、PayPalからの取引完了メールでした。メールに記載された内容は、「FacebookがMaasさんのFacebook広告アカウントとリンクされたPayPalアカウントに対し、3990.17ユーロ(約50万円)を請求した」というもので、身に覚えがなかったMaasさんは慌ててFacebook広告アカウントにログインを試みました。ところが、すでに詐欺師がアプリを通じて入手した情報を使ってMaasさんのFacebook広告アカウントを削除しており、Maasさんは取引の詳細について情報を得られなかったとのこと。なお、Facebook広告アカウントの削除について、FacebookからMaasさんにメールなどが送られることはなかったそうです。

Facebookは広告主に対するサポートページを用意していますが、ここからはメールを送ることもチャットをすることもできませんでした。ところが、幸いにもMaasさんは公式サポートのFacebook Messengerアカウントを見つけ出し、事態を報告することができました。

それから2日後、Maasさんは再びFacebook広告アカウントにログインすることができ、被害の状況を把握することができました。MaasさんのFacebook広告アカウントからの課金はさまざまなFacebook広告の配信に使用されていたそうで、中にはベトナムのアルミニウム製品を宣伝する広告も含まれていたとのこと。

MaasさんはPayPalに返金を求めたものの、PayPalの返事は「不正使用はないと判断しました」というものであり、後はFacebookが料金を払い戻すかどうかを待っているところだそうです。

この一件は海外のソーシャルニュースサイト・Hacker Newsでも話題になっており、「この一件から得られる教訓は、ネイティブアプリをデバイスにインストールすることにはリスクが伴うという点です」「スマートフォンでこれほどのビジネスプロセスを実行するなんて想像できません」「Instagramで実際の製品を模した偽の広告に引っかかり、似たような目に遭った経験があります。PayPalから返金してもらうのに途方もない時間がかかりました」など、さまざまな反応が寄せられています。