オンラインコンテストの投票詐欺を回避する方法…SMSアカウントの確認が多すぎて質問できませんか?
オンラインコンテストでの不正行為と投票者による不正の防止…
ユーザーがエントリーに投票することを含む、さまざまな種類のオンラインコンテストを開催しています(通常、ユーザーごとに1日1票)。賞金は数百ドルから数千ドルの範囲です。過去4年間、私たちは人々が不正を行おうとする多くの方法に遭遇し、それぞれのケースでクーター対策を実施してきました。現状では、次の方法を使用しています。
認証
ユーザーはアカウントを作成し、認証(ログイン)する必要があります。これは匿名の投票の詰め込みを除外します。
メール確認
ユーザーは、システムメールのリンクをクリックして自分のメールアドレスを確認し、自分のアドレスを所有し、アクセスできることを確認する必要があります。これにより、ランダムな(必ずしも有効ではない)メールアドレスを使用してアカウントをまとめて作成することはできなくなります。また、1つのアカウントでは処理が少し遅くなり、多くのアカウントを作成しようとすると処理が遅くなります。
Gmailアドレスエイリアスなし
ユーザーは、localpart + suffix @ gmail.comなどのインスタントエイリアスアドレスを使用できません。それは潜在的な詐欺師を遅くします。
追加の対策
私たちは、同じプライベートドメイン(user1 @ smithfamily.com、user2 @ smithfamily.comなど)からのメールアドレスの文字列について、サインアップと投票名簿を定期的に監査します。また、ドメイン間で類似した名前、ユーザー名、メールアドレスの「ローカル部分」も探します。
言うまでもなく、これはすべて疲労し、規模を拡大することがますます難しくなっています。コンテストで "1人1票"に近づき、プロセスの必要以上にユーザーに負担をかけないようにするには、より単純なソリューションが必要です。
SMSピン検証
一般的なユーザーの携帯電話番号は1つだけであると想定しています。 SMSテキストメッセージを介して携帯電話にピンを送信することを許可することにより、関連付けられたアカウントが一意であることを確認できました(携帯電話ごとに1つのアカウントのみを許可します)。携帯電話を持っていない、またはSMSメッセージを受信していない場合、彼らは手動検証のために営業時間中に私たちに電話することができます。
SMSテキストメッセージによるアカウントの確認は、オンラインコンテストへの投票を希望する多くのユーザーに尋ねていますか?より良い解決策を見落としましたか?
[〜#〜]更新[〜#〜]
SMS検証を差し控えることにしました。代わりに、不正なサインアップを検出して排除する方法がいくつかあり、(ほとんど)信頼できるアカウントが残されています。
更新2
コンテスト法の専門家とさらに協議したところ、一般市民の投票のみに基づく「コンテスト」は、スキルテストに合格しなかったため、実際にはまったくコンテストではないと判断しました。有権者はスキルを判断する資格がなく、基本的には誰が最も多くの票を獲得するかについて。または、さらに悪いことに、「考察」を構成し、すべてを「違法な宝くじ」にする危険な範囲内に置くプロモーターとしての応募者のスキルと努力次第でした。 「チャンス」と「検討」の要素を相殺するために、結果の50%未満の投票数を作成し、資格のある裁判官のパネルを使用して結果の50%を超えると判断しました(この場合、40%/ 60%–投票/審査)。 (コンテスト対懸賞の視覚的な参照のために、私はここで少し説明をしました: https://pbs.twimg.com/media/BzC5VH2CQAAN-LB.png:large 。)
ネットネット:結果の50%を超えると判断することで、不正行為の穴を塞ぐことなく不正行為の影響を軽減し、コンテストをコンテストに維持し、違法な宝くじを実行したとの非難を回避しました。
まず、カンニングしたい人は、直接投票しなければならない場合でも、その方法を見つけるでしょう。 SMSの確認でも、ユーザーは複数の携帯電話番号、複数のGoogle Voice番号を持つことができ、ほぼすべてのGMailアカウントがSMSを送受信できるため、できることはできるだけ難しくすることです。ユニークな電話番号も。
したがって、それらすべての最大の問題は次のとおりです。
SMSコードによる検証で、電子メールとIPの高度なフィルタリングよりもマルチ投票を防ぐことができますか?
これはテストでのみ答えることができ、以下で説明するように安くはありません。
元の質問に対する短い回答
オンラインコンテストでのSMS検証は、1人による複数投票を阻止する可能性が高くなりますが、ビジネスとUXに大きな悪影響を及ぼします。より良い代替策は、ユーザーごとに1つのアカウントの原則に既に依存している別のオンラインサービスに接続することです。それでも、行動方針はROIによって決定されます。
元の質問に対する長い回答
これは純粋にUXの問題ではありません。ビジネスプロセスを変更するだけでなく、追加のコストがかかるからです。
問題のUX側は簡単です。 CAPTCHAのフォームを作成しています。これは、不要な動作を防ぐために設計されたプロセスの追加の不便なステップです。従来のCAPTCHAが使用する状況との違いは、1)望ましくない動作がシステムの品質に重大な損害を与えること、2)SMSコードがユーザーを製品から遠ざけることです。さらに、SMSゲートプロバイダーとメッセージの量によっては、コードの受信に数分かかる場合があります。これにより、投票が途中で中止され、ユーザーの不満が高まり、必然的に活動への参加が永久に減少する可能性があります。
投票の放棄は別のデバイスから確認コードを取得する必要があるために発生します。これを回避する唯一の方法は、別のオンラインサービスを使用してユーザーをコンピューターに留めたまま確認することです。残念ながら、1人あたり1つのアカウントを保証する広く使用されているサービスはありません。 LinkedInの採用は低いものの、複数のFacebookおよびGoogleアカウントを持っている人がいます。したがって、(接続されたアカウントの記録を保持することに加えて)人が投票するたびに認証を要求することができます。
結局SMS検証に進むことにした場合、SMSは送信するのが自由ではなく、米国では受信するのが自由ではないことを考慮する必要があります(tajmo、あなた「米国を拠点としていますよね?」その結果、コストについて適切に開示し、ユーザーの携帯電話番号の保存と使用に関するプライバシーポリシーを更新し、全体がわかりやすい英語でどのように機能するかをユーザーに説明する必要があります。
したがって、このソリューションの実行可能性のビジネス分析は、いくつかの基準に依存します。
- SMS検証の実装にかかる実際のコスト
- 現在の不正行為の量と期待される改善
- 賞品の実際の価値(つまり、そのようなセキュリティが必要かどうか)
- ユーザーが認識する賞品の価値(つまり、賞品がSMS検証の労力とコストに見合う価値があるかどうか)
- アクティブおよび/または投票ユーザーの喪失
結局、前述の基準からの正のROIのみが、SMS検証を実装するための青信号になります。
提供される賞によって異なります。
SMS=確認のために行くマイナーなものについては、検証が上になるかもしれません。メジャーな賞については、それは適切である可能性がありますおそらく、この数値を1回限りの確認にのみ使用し、後でそれを破棄して、スパム行為についての人々の恐れを和らげるthem。
別の方法は、「良好な状態」のアカウントからのエントリのみを許可することです。これをどのように定義するかはサイトによって異なりますが、人間だけが行うアクティビティを含める必要があります。
- 何かを支払う
- 投稿にスパムのフラグを立てる
- 投票
- ....
あなたがこれらをどこまで進めるかはあなた次第です。
SMS機能を備えた携帯電話を持っている人は多くないので、SMS確認はあまり良い考えではありません。また、多くの人がスパムを受ける可能性があります(スパムを受け取らないと明言されていても!)
多くの人が家に住んでいるので、確認目的のみに使用される住所(建物番号、通りの名前、郵便番号)を尋ねることが最善です。唯一の欠点は、ホームレスの人々がよく知っていることです...(それは非常に明白です)
アカウントに十分な固有の価値がある場合、ユーザーはそれを検証する努力をする可能性が高くなります。価値は必ずしも金銭的ではありません(スタック交換の評判を考えてください)。必要に応じて、新しいユーザーを怖がらせないように2層のアプローチを試してください。
認証されていない基本-限られた数の投票、有効期間または各投票の低い価値
いくつかの方法の1つによってプレミアム認証を取得します。
- SMSコード
- クレジットカード登録・購入
- 固有の住所(コードを郵送することもできます)
- 電話コード(Googleマッププレイスのような自動通話)
- デバイスのようなものを登録します(モバイルアプリに適しています)
- 一定量の活動を行う(例:フォーラムへの投稿)
違反が非常に多いため、ユーザーが各アカウントの認証方法を使用して1〜2票余分に投票する場合は、重複するアカウントをマージする必要があります。
お役に立てれば