新規顧客獲得のためのヒントと注意点！

すべての販売業者は、低価格または無料で新規ユーザーを引き付けるために、定期的に新規顧客獲得活動を実施します。しかし、このような無秩序な行為は避けられないものであり、制御されなければ、活動における大きな潜在的危険となる可能性があります。この記事の著者は自身の経験に基づいて、製品/操作の基本レベルでの登録、アクティビティ、支払いなどに関するセキュリティの提案をいくつか行っています。皆さんのお役に立てば幸いです。

グレー産業がますます蔓延する中、収益性の高いプラットフォームのほぼすべてが彼らの「餌食」となるだろう。この記事では、私自身の経験に基づいて、製品/操作ベースレベルでの登録、アクティビティ、支払いなどに関するセキュリティの提案をいくつか紹介します。

1. 登録

登録/ログインはセキュリティの最も基本的かつ重要な第一防衛線です。これを適切に行えば、将来多くのトラブルを回避できます。

市場における登録・ログインの現状のセキュリティリスクと防止策を紹介します。

1. 仮想番号セグメント登録

いわゆる仮想番号帯は、仮想事業者の専用番号帯であり、ライセンスを取得した企業は基幹通信事業者の移動通信ネットワークを借りて、自社のブランドに基づいてユーザーに通信サービスを提供することができます。簡単に言えば、運営会社の「特約店」ということになりますが、実際の管理・運営は運営会社から独立しているため、個人が営業所に行ってカードを開設する場合、通常は仮想番号は付与されません。 （一部の町や僻地では仮想番号の販売が活発に行われています）。

では、これらの仮想番号を使って何ができるのでしょうか?プラットフォーム上で小規模アカウントを一括登録、管理、販売します。

これは時限爆弾です。プラットフォーム上で新しいアクティビティが開始されると、数十万の小さなアカウントが同時にオンラインになり、数分で「ソーシャル」とは何かを私たちに知らせます。活動の有効性に影響を及ぼすだけでなく、深刻な場合には莫大な経済的損失につながります。これが、現在の登録プロセスにおける最大のセキュリティリスクと課題です。 金融商品では、機密性の高い操作を行う際に、実名認証や顔認証を行うことが求められます。これにより、ある程度はこの状況を回避することができますが、後述するように、完全に回避する方法はありません。

予防：

登録時に仮想番号セグメントの登録は許可されず、「携帯電話番号の変更」とサードパーティログイン後の携帯電話番号のバインドの手順で統一された処理が必要です。これは現在、最も単純かつ直接的で、コストが最も低い予防方法です。ただし、すべてのプラットフォームがそうする必要はありません。プラットフォーム自体が情報やツール、オープンサービスなど、経済に関係しないビジネス機能を多く持っている場合は、プラットフォーム自身のビジネス環境に応じて、適宜緩和することができます。このようなユーザーを失うことを心配している場合は、登録時にユーザーに「ユーザーは現在、仮想番号で登録しています。アカウントのセキュリティを確保するため、***** に電話して確認情報を取得してください。」と通知することができます。この手順は、現在の操作がプログラムではなく、通信ツールを備えた実際の人物によるものであることを確認するためのものです。しかし、グレーマーケット全体の技術レベルの向上や音声認識技術のアップグレードに伴い、この方法の役割は弱まりつつあります。

上で述べたように、プラットフォーム自体がセキュリティ ルールを作成しますが、これは比較的受動的で、単一の方法を使用します。新しい番号セグメントが出てくると、それを維持する必要があり、一定の管理および更新コストがかかります。現在、アリババ、テンセント、ネットイースなど、市場で主流のクラウドプラットフォームは、いずれも登録セキュリティのサービスを提供しています。プラットフォームが習得したビッグデータとそれに対応するセキュリティ対策に基づくと、実際の経験から、自分でセキュリティルールを構築するよりも効果が優れていることがわかります。強力な能力と大規模なユーザーベースを持つ場合は、これを検討できます。

現在知られているオープン仮想番号セグメント:

• モバイル 1703 1705 1705 165
• 中国聯通 1704 1707 1708 1709 171 167
• 電気通信 1700 1701 1702 162

そして、インターネット カード専用の番号範囲は 14 から始まります。

2. 交換/購入量

トラフィックを呼びかけたり、トラフィックを購入したりして、新規ユーザーを獲得します。ここには怪しい操作がたくさんあります。

• 完全に偽のトラフィックです。入ってくるトラフィックは、プラットフォームに到着した後はまったく動きません。優れたトラフィックは一度登録されますが、その後はアクティブではなくなります。
• 期間と割合による混合量：1より少し賢く、より価値のある新規ユーザーが入ってくる
• 「仲介者」：ここでの仲介者とは、転売して利益を得ることではなく、低品質または望ましくないトラフィックを使用して購入者を騙すことを意味します。たとえば、開発者が不動産プラットフォームでトラフィックを購入し、不動産プラットフォームがファンプラットフォームからのトラフィックを使用して中学生のグループのアカウントを転売します。開発者側のシーンがどれほどエキサイティングであるかご存知ですか？

予防：

• 独自の機能を活用してチャネル監視プラットフォームを構築するか、サードパーティのチャネル データ管理プラットフォームを使用してすべてのチャネルを監視します。その前に、企業は自社の経験を競合他社の関連チャネル変換データと比較し、チャネルの品質を測定する必要があります。
• 知り合いや有名なプラットフォームとの協力を優先する
• 課金方法としては、 cpsと cpa を使用するようにしてください。CPC と cpm は富裕層向けです。
• 協力条件にはトラフィックの実効割合が明確に記載されており、法的観点から相手方の行動を制約します。

3. 認証コード

認証コードは現在最も基本的で広く使用されているログイン方法ですが、最も攻撃されやすい弱点でもあります。

1) コードをスキャンする

暴力的なコードスワイプは頻繁に発生するものではありませんが、一度発生すると、直接的な経済的損失につながります。 認証コードを 3 回取得し、詐欺師が 100 万回のアクセスを利用して詐欺を働いた場合、大量 SMS の現在の価格が 0.3 ～ 0.1 セントであることを考えると、直接的な経済損失は 9,000 ～ 30,000 となり、今月のパフォーマンスは失われます。このような事件は、直接的な衝突につながる意図的な行為の結果として、または第三者がデバイスをゾンビとして使用し、「テキストメッセージ爆弾犯」のテキストメッセージの送信元になった場合に発生することがよくあります。

一部のプラットフォームでは、毎日の認証コードサービスへのアクセス数に異常がないように見えますが、実はすでに他人の「ゾンビマシン」になっています。 【SMS爆撃機】使ったことはないが、少なくとも聞いたことはある。これは「ブラックハット」の分野では古くから成熟した基本スキルであり、コードをスキャンすると、実機よりもリアルな仮想環境を作り出すことができる。どんなに多くのトリックを持っていても、「仮想マシン環境を構築する」という一手だけであなたを倒すことができます。近年、さまざまなコンピューティングとビッグデータへの投資により、この種のセキュリティタイムの防御は向上していますが、基本的に防御策は出てくるとすぐに破られます。防御は常に供給の後にあり、非常に受動的です。

予防策：

1. 日常生活では目立たないようにし、善行を増やし、傲慢な態度を取らないようにしましょう。暴力的なコードスワイプは違法行為です。特別な事情がない限り、このようなことは起こりません。

2. 健全な検証コードセキュリティメカニズムを構築する

• アプリはユーザーの携帯電話、デバイスモデル、IMEI番号を取得し、シミュレーターを除外し、必要に応じてジャイロスコープデータを取得できます。
• 認証コード取得時間間隔 60秒
• 自然日あたりの連続取得回数の上限を設定します（単発メカニズム、再利用不可）
• ユーザーが継続的に獲得するのはいつですか?検証コードが再度入力され、プラットフォームにログインできません。グラフィック/スライダー検証がオンになっています。 （個人が実際の通信機器を操作していることを確認するために、固定番号にテキストメッセージを送信する必要がある一部の Tencent サービスは推奨されません。）
• 1日の連続取得制限を超えると、番号/IPロック機構が作動します。 2 時間、半日、1 日など、区切ってロックすることも、1 日単位で直接ロックすることもできます。セグメントロックでは、状況に応じてロック解除後の取得回数を設定する必要があります。一般的に、この回数は 1 日の連続取得閾値よりも少なくなります。1 回のみ与えることをお勧めします。
• 1日あたりの取得最大回数を設定します。上限を超えると認証コードの取得は行われなくなります。
• 継続的ですか?トリガー後に確認コードが送信されますが、ユーザーはそれを受信しないため、音声確認を有効にするように求められます。ここでは、SMS 認証の補助として音声認証について詳しく説明します。音声認証は、一方ではコードのスキャンをある程度防ぐことができ、他方ではユーザーがコードを取得できないという問題を解決できます。 （ネットワーク環境が弱い場合、認証コードを受信できない場合、ユーザーが通話を発信/受信できるかどうかという問題については心配しないでください。音声通信で使用される基礎技術は依然として2、3G技術であり、ネットワーク要件はデータ通信よりも低くなっています。ご興味がある場合は、ご自身で情報を確認してください）
• 認証コードを連続して間違って入力していますか?つまり、グラフィック/スライダー検証メカニズムを有効にするか、番号/IPロックメカニズムを有効にするかです。
• 応答で SMS 検証コードを公開しないでください。検証コードはサーバー上にのみ存在し、API から直接取得することはできません (テスト環境は任意です)

悲しい真実をお話ししましょう。本物のグレーマーケットのボスが本当に登録コードや検証コードを改ざんしたい場合、上記の方法は直接的には効果がありません。 クラウド制御 + クラウドフォン (下図) の現在のテクノロジーはすでに非常に成熟しており、規模とグループ化の傾向を示しています。金融やゲーム業界で働く人なら、このことはよく知っているはずだ。彼らはこれをひどく嫌っていると言ってもいい。彼らは、新規ユーザーや共同購入を誘致するために、APPで儲けられるところならどこにでも現れ、しばしば大きな損失を被る。 私たちが直面しているセキュリティリスクの状況は依然として非常に深刻であることがわかります。これは、ブラザー・ポニーが言っているように、テクノロジーを善のために使うことがいかに重要であるかを示しています。

また、「画像認識」セキュリティ メカニズムに自信を持っている大手企業についても強調したいと思います。市場にはすでにこのメカニズムを克服するための成熟したプラットフォームがあり、サポートされているシナリオは市場のほぼすべてのグラフィック検証方法をカバーしています。とあるプラットフォームのコーディング機能の紹介を見て、テクノロジーの力を実感してください。

II. 活動

ほぼすべてのプラットフォームで、アクティビティ、製品プロモーション、新規顧客獲得、ブランドマーケティングが行われます。アクティビティの主な機能とプロセスを設計した後、アクティビティの安全性を必須項目として必ず含めてください。

1. [サインイン抽選]を例に、これまで見過ごされてきたセキュリティ上の脆弱性を紹介する

• 1台のデバイスで複数のアカウントを切り替える操作も登録セキュリティに分類できます。
• 毎日の賞金プールの価値に上限はありません。作戦計画がしっかり練られていれば無視できますが、賞品が本物である場合には、必ずこの問題を考慮してください。
• 1日に当選できる高額賞品の数に上限はありません。1つの賞品の価値が非常に高い場合は、抽選回数に加えて当選確率も考慮する必要があります。
• 多数の小さなアカウントでサインインしてサインイン ポイントを貯め、アカウントを維持し、ポイントを報酬と交換します。金融プラットフォームではより一般的

2. 新規顧客を獲得する

ウール製造詐欺によって最も大きな打撃を受けたのは新規顧客獲得活動であり、ほとんどすべての貴重な新規顧客獲得活動も影響を受けました。ほとんどの場合、私たちは無力です。新規顧客獲得活動中に遭遇した最悪の状況をいくつか紹介します。

• 大量のトランペット、ボトムアップのレイド活動、短期間で大量の新規プレイヤーの権利と賞品が奪われた
• 最初の「点火者」が抜け穴を見つけると、「***ガイド」は1日以内にネットワーク全体に広がります。一定の拡散と新規登録ももたらされますが、そのほとんどはフリーライダーであり、プラットフォームにとってはあまり意味がありません。多くの「ゾンビ」ユーザーを増やすだけで、会社に経済的損失をもたらしたり、会社の広報/法的リソースの介入を伴ったりすることは間違いありません。
• 報酬を受け取るために一定の要件を満たす必要がある新規顧客獲得活動の場合、ユーザーは要件を完了し、報酬を取得して使用した後、アフターセールス払い戻しを開始できます。このとき、注文ステータスを注文ステータスにバインドする、つまり、報酬は商品受領後に有効になるかどうかは、アクティビティの効果に影響します。どのように選択するかは、企業が新規顧客の変換に重点を置くかどうかと、このアクティビティのコスト投資によって異なります。
• ユーザーは複数の携帯電話番号を持ち、自ら集客している。登録数は増えているが、その後のビジネスコンバージョンに大きな役割を果たしていない。

同様のランキング/投票活動は他にもたくさんあります。いくらかのお金を費やせば、多数のサードパーティ投票プラットフォームが、投票者の性別、年齢、IP アドレス、デバイス モデル、投票頻度、その他の要件など、さまざまなニーズを満たすことができます。価格は 1 つあたり数セント程度と安く、高額の賞品を得るために数百ドルを費やす価値は十分にあります。

もう 1 つのエクストリーム バンク消費ランキング アクティビティについてお話ししましょう。一定時間内に一定の金額を費やすとアクティビティに参加でき、最も多く費やした上位 10 名には追加の高額賞品が贈られます。報酬の価値が十分に高ければ、支出のしきい値をどれだけ高く設定しても問題ありません。なぜでしょうか?リストを独占している大手企業はそれぞれ十数台のPOS端末を所有しているため、消費地の都市、店舗の種類、さらには店舗の指定まで設定できます。銀行が端末をスワイプすると、銀行のカード保有者がこれほど激しく支出できるのか疑問に思うでしょう。結局、これは他人の定型的な操作に過ぎないことがわかりました。損失はXの手数料でしたが、賞品に比べればまったく無視できるものでした。その後、引き出したお金は返却されました。景品もポイントが貯まり、ポイントはプラットフォーム上で次々と景品と交換できます。この難しい操作は、ロビーのカウンターでプランナーを泣かせ、立ち上がれないほどです～

では、羊毛収集の問題を解決し、プラットフォームを損失から守るための実用的な解決策はあるのでしょうか?

回答：いいえ。

なぜそんなに確信しているのでしょうか? Boiling Water のような強力な団体の果樹植樹活動に何が起こったのか見てみましょう。 ！報酬獲得の鍵は、大量の肥料と水滴を入手して果樹に水をやり、果物の熟成を促進して賞品を獲得することです。必要なリソース、つまり肥料と水滴を精製しましょう。肥料は宝くじや買い物で入手でき、ウォータードロップからもらえる肥料はなくなることはありません。このプラットフォームには、1 セントの商品やサービスが多数あります。購入することで、大量のウォーター ドロップや電話料金を入手できます。2、3 日に 1 箱のフルーツが届くなんて、信じられないほどお得です。

イベント開始当初は、購入後に報酬を受け取ったユーザーが返金を申し出るという前述の現象が発生しました。その後、イベントのルールが更新され、返金が多すぎると報酬に対応するタスクが永久に削除されます。しかし、それでも「賢い」人たちには抵抗できません。中には超低価格の商品を買う人もいれば、クーポンを買っても使わず、期限が切れたらプラットフォームが自動的に返金するのを待つ人もいます。しかし、私はすでに肥料と水滴の報酬を受け取っています。これは、ユーザーがプラットフォームのルールの抜け穴を露骨に悪用したケースであり、これに対してできることは何もありません。

最近、果樹の成熟度は小数点以下3桁まで拡大し、1回の潅水による進捗増加率も大幅に減少しました。一方で、「賢い」ユーザーが大きな割合を占めていることがわかり、他方では、この活動が確かにある程度の活性化と注文変換を促進する上で重要な役割を果たしていることもわかります。

大企業がそうであるならば、スタートアップや中小企業の状況については、これ以上言う必要はないだろう。しかし、活動を行う際には、活動のルールを厳密に管理する必要がありますか?まったく逆です。使用者は極度に甘い蜂蜜によって甘くされている。7ポイントの甘さ、つまり半分の砂糖を与えられた場合、活動の効果は必然的に損なわれるだろう。標準化されたルールを設定し、コストが許す範囲内で新規ユーザーにより多くの報酬を提供するように努め、製品部門と運用部門は報酬ルールの策定に重点を置くことをお勧めします。現在一般的な運用としては、適時性（当日有効など）、範囲設定（必ずしもユーザーに必要な商品ではなく、確実に利益率の高い商品や在庫過剰の商品）、継続性（1ラウンドの報酬を使い切った後、新たな報酬があり、その度合いが徐々に減少する）などが挙げられます。

どのように設定するかに関係なく、時間コストと総注文額/数量という 2 つの側面に焦点を当てることになります。短期間で、ユーザーは報酬を利用して注文をするように促され、または継続的な注文により継続的な報酬を得ることができます。報酬は継続的に使用され、ユーザーの再購入頻度が高まり、得られた収益はプラットフォームの損失の一部を相殺することができます。しかし、実際には、仕入れ、輸送、倉庫保管、人件費などすべてのコストを考慮すると、活動の半分以上が赤字です。しかし、活動を通じて流入したトラフィックを適切に管理し、プラットフォーム上でアクティブに維持できれば、企業が持ちこたえる限り、時間の蓄積によって最終的に損失が利益に変わります。

活動について少し話しすぎました。この地域ではとんでもない手術が多すぎます。また、他の人が追随しないように、足の骨折の症例のいくつかはここでは言及していません。

3. 支払い

モバイル決済の普及により人々の生活はより便利になりましたが、同時に人々の財産の安全性もある程度低下しました。現在、人々にとっての支払いの安全性には多くの種類があります。

ユーザー側:

• トロイの木馬やウイルスはよくあることです。国や部隊が宣伝に非常に力を入れているにもかかわらず、このようなことは毎年起こっています。
• フィッシング SMS および電子メール: 不明なリンクを開き、携帯電話番号を入力して確認コードを取得します。銀行振込のSMSが届きました。
• QR コード: 支払い QR コードを置き換えます。QR コードを識別すると、ウイルス リンクであることが判明します。
• 小規模なチャネルを通じてダウンロードされたアプリ：これは男性向けです。詳細は説明しません。わかる人にはわかるでしょう。

プラットフォーム側:

• 支払いなしの悪質な注文: 文字通りの意味は非常に明確で、支払いページに到達しても支払いを行わず、販売者の在庫をロックし、通常の販売を妨げることを意味します。最近の激しい「グラフィックカード戦争」では、再びこのような作戦が展開されている。主な影響は、プラットフォーム上の個々の商人/ダフ屋の利益に及びます。プラットフォームとブランドイメージにとって、このような行為によって引き起こされる損害はカッピングよりも深刻ですが、すぐに収まるでしょう。
• 悪意のある払い戻し: ユーザーは頻繁に大量の商品を購入し、その後払い戻しを開始します。この操作はプラットフォームにほとんど影響を与えませんが、ハエを食べるのと同じくらい不快です。初期の頃はクレジットカードの限度額を増やすために使用されていました。現在、主流の支払いプラットフォームは政府の規制プラットフォームに接続されており、この現象はあまり一般的ではなくなりました。
• XiQ：主に金融、ゲーム、一部の大規模取引プラットフォームを対象としており、まだグレーゾーンです。中国には関連業務を扱える企業がありますが、効果的で包括的な防御策はありません。政府が主導権を握り、大手金融機関と協力してこの分野のデジタル構築を改善してくれることを期待するしかありません。
• ネットワーク攻撃: 主にプロトコルの脆弱性 (サイレント SMS、偽の基地局、IMSI キャプチャ、GSM 仲介者)、コード実装の脆弱性 (TMSI オーバーフロー、Intel/Comneon、AUTU オーバーフロー、Qualcomm、SMS PDU オーバーフロー)、および支払いデータを置き換えたり改ざんしたりするその他の手段が含まれます。ユーザーの TouchID または FaceID が傍受され、コピーされると、次のような結果になります...

決済チェックアウトページを持つ小さな企業であっても、決済センタープラットフォームのサポートを受ける大規模または中規模企業であっても、決済環境のセキュリティに十分な注意を払い、ユーザーの財産の安全を保護する必要があります。

最後に、私は皆さんがこのような状況に遭遇しないことを心から願っています。人々が親切になり、一人ひとりが良い姿勢で国の経済建設とビジネスの発展を促進することを心から願っています。

著者: 漢の武帝

出典: 漢の武帝