Spisu treści:
- Poczta Yin i Yang tracą równowagę
- Mały margines potencjalnego kompromisu?
- Prawo pocztowych systemów informacyjnych - dla każdego pozytywnego działania, równa i przeciwna reakcja przestępcza
- Eksperyment z wstrzymywaniem poczty
- Kod potwierdzający? Czy możemy przynajmniej wymagać kodu potwierdzającego?
- Kilka rozwiązań z mojej małej główki pocztowej
- Kto jest w Twojej skrzynce pocztowej?
Czy twoja skrzynka pocztowa może być twoją śmiercią?
Zachary DeBottis
Poczta Yin i Yang tracą równowagę
Bez wątpienia technologia internetowa otworzyła zupełnie nowy świat możliwości, rewolucjonizując sposób, w jaki społeczeństwo prowadzi biznes. Cyber-rewolucja ożywiła również działalność amerykańskiej poczty, otwierając nowe możliwości generowania przychodów oraz usprawniając niezliczone procesy. Dziesięć lat temu klient pocztowy nie mógł zaplanować odbioru poczty, nie mógł zobaczyć, co będzie w skrzynce pocztowej tego dnia, śledzić paczkę w czasie rzeczywistym ani wprowadzać zmiany kolejności adresu z domu. Większość zadań związanych z pocztą nadal wymagała mozolnego wypełniania formularza na poczcie.
Przegląd online w ciągu ostatnich kilku lat ułatwił życie i pracę zarówno klientom pocztowym, jak i pracownikom. Jednak, jak widzieliśmy wraz z eksplozją technologii internetowej w niezliczonych innych gałęziach przemysłu, supernowa pozytywnych zmian tworzy złowieszczy cień. Dobro i zło krążą wokół siebie w postaci Yin i Yang, która nie jest symbolem równowagi, ale raczej obrazem koła grożącego wypadnięciem z szyn. Za każdą technologiczną korzyść, jaką sprytne, dobroczynne umysły mogą przynieść, niektórzy równie sprytni, ale złowrogi, pokręcony mózg wymyślą, jak go wykorzystać do złego końca.
Instytucje finansowe są hakowane, giganci mediów społecznościowych są hakowani, wszyscy są obecnie zhakowani. Hasła do kont bankowych, numery ubezpieczenia społecznego itp. Są tam ujawniane przed złymi oczami złodziei, którzy biegają z tożsamością niewinnej obcej osoby, aby przejrzeć fundusze lub zaciągnąć pożyczki. W przeszłości to nielegalne pozyskiwanie danych osobowych nie wymagało zaawansowanej znajomości programowania komputerowego. Każdy listonosz stał przed sąsiednią jednostką dostarczającą i odbiorczą, przekształconą w bezużyteczną metalową skrzynkę, której rozwarte, zniszczone drzwi trzepoczą na wietrze, co świadczy o tym, że kradzież tożsamości wymaga tylko łomu i brutalnej siły w użyciu to. Ale teraz, wraz z automatyzacją starych procesów pocztowych, narzędzia do podważania ogromnego skarbca danych osobowych stały się bardziej wyrafinowane,i bardziej efektywne.
Ten artykuł dotyczy przede wszystkim tradycyjnej instytucji zatrzymywania poczty lub wstrzymania urlopu, jak to się często nazywa. Klienci pocztowi wyjeżdżający z miasta na kilka dni wypełnią prośbę o wstrzymanie, aby ich nieodebrana poczta nie trafiła w ręce złodziei, a nawet nierzetelnych członków rodziny. Ale czy automatyzując proces wstrzymania wakacji, aby ułatwić odbiorcom poczty, czy poczta nieświadomie pobudziła interesy tych złodziei poczty, przed którymi miała chronić?
Kradzież poczty nie wymaga już łomu
Mel Carriere Galerie
Mały margines potencjalnego kompromisu?
Obecny wybuch nadużyć związanych z przechowywaniem poczty nie jest pierwszym przypadkiem, w którym podejrzani przestępcy udaremnili proces pocztowy w niecnych celach. Automatyzacja poczty w Stanach Zjednoczonych zautomatyzowała kradzież produktów pocztowych, a każda nowa aplikacja na telefon i funkcja strony internetowej znikają z linii. Przekazywanie poczty jest jednym z takich rażących przykładów. Z własnego doświadczenia jako przewoźnika listowego miałem kilka przypadków, gdy klienci narzekali, że ich poczta jest przekazywana komuś, kogo nie znają, bez ich zgody. Oczywiście poczta wysyła list weryfikacyjny, aby potwierdzić przekazanie, ale najczęściej są one odrzucane jako śmieci z nieznanego pochodzenia. Zazwyczaj do czasu, gdy ofiarowany klient zda sobie sprawę, że jego poczta nie pojawia się, już brakuje mu kilku wrażliwych elementów.
Każdego roku składanych jest 37 milionów wniosków o zmianę adresu. Rzeczniczka pocztowa Karen Mazurkiewicz, zasypana skargami na oszukańczych spedytorów, odniosła się do tego ogromnego repozytorium danych, twierdząc, że przestępstwo stanowi niewielki margines potencjalnego kompromisu . Fakt, że kilkakrotnie już się z tym spotkałem, wskazuje jednak na to, że problem jest bardziej powszechny niż chętnie przyznają się rzecznicy Poczty.
Innym podatnym gruntem dla oszustw jest Informed Delivery, proces wdrożony kilka lat temu, aby klienci pocztowi mogli z wyprzedzeniem sprawdzić, jaka poczta przyjdzie tego dnia, za pośrednictwem wiadomości e-mail wyświetlającej obrazy listów i paczek. Wydaje się sprytną i użyteczną funkcją, która pozwala pobiec do domu i odzyskać kontrolę bodźców, zanim złoczyńcy cię pobiją, ale ma też nieprzewidziane wady.
Ostrzeżenie rozpowszechniane przez Secret Service ostrzegało, w jaki sposób złodzieje wykorzystują Informed Delivery do nielegalnego zysku. „ … Wewnętrzny alert - wysłany przez Secret Service 6 listopada do partnerów organów ścigania w całym kraju - odnosi się do niedawnej sprawy w Michigan, w której aresztowano siedem osób za rzekomą kradzież kart kredytowych ze skrzynek pocztowych mieszkańców po zarejestrowaniu się jako te ofiary na stronie internetowej USPS. „Rejestrując się w usłudze Informed Delivery pod adresami, które nie otrzymują usługi, ci zaradni przestępcy byli w stanie wyeliminować zgadywanie i pracę nóg związanych z atakowaniem każdej skrzynki pocztowej w bloku. Zamiast tego mogli skupić się na domach, które otrzymali w aplikacji karty kredytowe lub inne wrażliwe finansowo instrumenty. W ten sposób oszuści zdołali zgromadzić 400 000 dolarów fałszywych opłat na kontach swoich ofiar.
Morał historii? - Podpatrujące oczy cię obserwują. Jeśli nie masz jeszcze Informed Delivery, zdobądź ją, zanim zrobią to złodzieje, aby ich jedyne w swoim rodzaju szaleństwo zakupów nie odbyło się w Twojej skrzynce pocztowej. Mam go dokładnie w tym celu, nie tyle po to, aby móc czytać codziennie generowaną wiadomość, ale po to, aby nie chciane, drapieżne oczy nie zaglądały do mojego pojemnika na listy.
Co jest w twojej skrzynce pocztowej? Możesz nie wiedzieć, ale jeśli nie masz usługi Informed Delivery, istnieje szansa, że zrobią to złodzieje poczty.
Prawo pocztowych systemów informacyjnych - dla każdego pozytywnego działania, równa i przeciwna reakcja przestępcza
Widzimy więc, że na każde działanie Poczty, aby wdrożyć przydatne narzędzie internetowe dla swoich klientów, istnieje równa i przeciwna reakcja w półświatku bezprawnego wykorzystywania jego słabości. I to prowadzi nas do magazynu poczty jako źródła potencjalnych oszustw. Czy Twoja zdolność do wygodnego wypełniania wniosku o urlop z domu lub telefonu faktycznie robi coś odwrotnego do zamierzonego, pozwalając złowrogim lowlifom ukraść omyłkowo zatrzymaną pocztę?
Anegdotyczne dowody, które zgromadziłem jako listonosz USPS, każą mi przypuszczać, że tak. Tylko w ciągu ostatnich dwóch tygodni napotkałem dwie fałszywe blokady poczty. W obu przypadkach, po około tygodniu od zatrzymania przesyłki, mieszkańcy zgłosili się do Urzędu Pocztowego w celu złożenia skargi.
Jeden z tych przypadków dotyczył członka rodziny, który próbował zatrzymać własną korespondencję, być może nie wiedząc, że wstrzymanie wakacji powoduje zatrzymanie poczty dla całego gospodarstwa domowego, a nie tylko jednej osoby. Jednak druga blokada poczty została wygenerowana przez osobę, której właściciel domu nie znał. Ta tajemnicza osoba, o której spekulował drapieżny klient, mógł być przyjacielem jego współlokatora, zamówiła nawet kilka paczek. Nie wiem, jaka okazała się ostateczna tożsamość posiadacza tajemniczej poczty, ale oba te przypadki skłoniły mnie do spekulacji na temat tego, jak łatwo można wykorzystać blokady poczty do nielegalnych celów.
Pierwszy przypadek pokazuje, że mściwy krewny może z łatwością wykorzystać skrzynkę pocztową jako broń w toczącej się kłótni rodzinnej. Niezadowolony syn lub córka może chcieć załatwić sprawę mamie, tacie lub babci, trzymając ich pocztę, a nawet kradnąc ich czeki. Z pewnością byłoby to możliwe, gdyby osoba o tym samym nazwisku co odbiorca czeku mogła to zrobić, zwłaszcza jeśli byłaby młodszą osobą, a imiona i nazwiska byłyby zgodne. Nie mówię, że tak się tutaj stało, prawdopodobnie było to po prostu szczere niezrozumienie procesu wstrzymywania poczty, ale nie mów mi, że inni ludzie nie próbowali.
Drugie wystąpienie jest bardziej zagadką. Dlaczego prawowity znajomy współlokatora musiałby wstrzymywać się z odbieraniem poczty w swoim domu? Czy nie mógłby po prostu powiedzieć „ hej kolego, czy nie masz nic przeciwko, jeśli mam paczkę wysłaną do ciebie”, a potem wpaść, by odebrać ją później? Jest to dość powszechna praktyka - ludzie nie chcą, aby ich mężowie lub żony widzieli ich urodzinowe niespodzianki, więc wysyłają je gdzie indziej. Ale nie musisz przerywać poczty swojego kumpla, aby to zrobić, co prowadzi mnie do przekonania, że działo się coś szkicowego. Fakt, że mieszkaniec nie znał posiadacza poczty, skłania mnie do wniosku, że ktoś potrzebujący adresu fizycznego przechwytywał pocztę z tego domu przez kilka dni, a następnie może trochę za długo czekał, aby ją odebrać na poczcie.
Niezależnie od przypadku, incydent ten ilustruje wiele sposobów wykorzystania przechowywanej poczty do nadużyć. Nie myśl, że twoi profesjonalni i amatorzy nie myśleli o nich i nie próbowali ich używać. Chociaż członkowie rodziny o lepkich palcach i być może bezdomni z pewnością próbowali nadużywać przechowywania poczty, istnieje duże prawdopodobieństwo, że kradzież tożsamości jest główną przyczyną wykorzystywania tego narzędzia.
W rzeczywistości 24 czerwca 2020 r.Poczta Inspekcja w Tom's River w New Jersey zgłosiła dochodzenie w sprawie fałszywych blokad poczty, w których skradzione dane osobowe były wykorzystywane do ubiegania się o karty kredytowe. Ten niedawny epizod potwierdza istnienie i wagę problemu oraz sugeruje, że może to być nowy trend wśród złodziei tożsamości. Czy to możliwe, że rabusie skrzynek pocztowych, odstraszeni rosnącą trudnością w przekierowaniu poczty ofiary do nich, szukają luk w przechowywaniu poczty jako obejścia?
Kiedy rodziny spokojnie przechadzały się po promenadzie Tom's River, z ich skrzynek pocztowych kradziono dane osobowe.
Autor: Bakergrp - Praca własna, domena publiczna,
Eksperyment z wstrzymywaniem poczty
Okazuje się, że O Strich głowę w piasek podejścia do bezpieczeństwa cybernetycznego nie działa tak dobrze na usługi pocztowe. Jej mały margines potencjalnego mantry nie był naprawdę kojące klienci przestraszony widmem kradzieży tożsamości. W odpowiedzi organizacja ostatecznie zepsuła się i wdrożyła środki mające na celu zapobieganie przejęciu blokad. Eric Zorn, piszący w Chicago Tribune, mówi, że w październiku 2019 roku USPS zaczął „ … wymagać od klientów tworzenia zweryfikowanych kont z nazwami użytkowników, hasłami i spersonalizowanymi pytaniami zabezpieczającymi, zanim będą mogli zamówić wstrzymania wakacyjne”.
Czy nowe środki bezpieczeństwa są skuteczne? Ryzykując narażenie się na stały okres próbny, zdecydowałem się odwiedzić USPS.com i spróbować zatrzymać własną pocztę z inną tożsamością. Użyłem swojego pseudonimu, a nie prawdziwego, i numeru telefonu, który nie należał do mnie. Niepokoi mnie, gdy donoszę, że udało mi się, pomimo nowych środków bezpieczeństwa. Co więcej, proces był żenująco łatwy.
Naprawdę miałem nadzieję, że się mylę. Naprawdę liczyłem na to, że poczta przybiła gwoździe, zatrzasnęła cyfrowe drzwi, oblała wroga u bram wrzącym olejem. Ale niestety nie.
A teraz nie dzwoń na policję ani do inspektorów pocztowych. Wstrzymanie urlopu zostało umieszczone na mojej własnej poczcie, na mój własny adres. Technicznie rzecz biorąc, nie sądzę, by można było zostać aresztowanym za kradzież własnych rzeczy. Może się mylę, ale poczta jest więcej niż w błędzie, jeśli uważa, że zapobiegła oszustwom związanym z przechowywaniem poczty dzięki tym wysiłkom w zakresie bezpieczeństwa ligi buszu.
Aby zapobiec możliwemu wykorzystaniu systemu przechowywania poczty, USPS wymaga teraz utworzenia konta, ale mogłem z łatwością utworzyć nowe konto pod własnym adresem.
Zrzut ekranu z telefonu Mela Carriere'a
Kod potwierdzający? Czy możemy przynajmniej wymagać kodu potwierdzającego?
Oczywiście miałem już konto na USPS.com, więc musiałem założyć nowe. Nie pozwalając mi na utworzenie duplikatu konta dla mojego adresu, mogłem wcześnie zostać zdeptany w zarodku, ale pokonałem tę pierwszą przeszkodę, nawet nie muskając palcem u góry.
Stamtąd przeszedłem szybko, łatwo i bezwstydnie po schodach, czując się jak zbrodniarz. Potem dotarłem do miejsca, o którym myślałem, że będzie niemożliwą do pokonania blokadą drogową, zamkową fosą wypełnioną wygłodniałymi, kłapiącymi aligatorami. Tutaj miałem zamiar zatrzymać się z piskiem, dostać starą dziwkę, powalić na śmierć w moich śladach.
Program zachęcał mnie do wpisania numeru telefonu. Zatrzymałem się na chwilę, aby się zastanowić, zanim pomyślałem, że użycie własnego numeru wpłynęłoby na ważność eksperymentu. Co się stanie, jeśli program rozpozna Twój numer telefonu z drugiego konta i pozwoli Ci na tej podstawie przejść? Pomyślałem o zapytaniu przyjaciela, czy mógłbym pożyczyć jego numer do eksperymentu, po czym zatrzymałem się, myśląc, że może się zdziwić, wierząc, że jestem zamieszana w jakiś złowrogi pierścień do wyrywania tożsamości, którym byłem. Więc zamiast tego zadzwoniłem do mojego najstarszego syna.
To jedyny numer telefonu w abonamencie rodzinnym, który nie ma tego samego prefiksu. Jest też jedynym, który przynajmniej udaje, że interesuje się tym, o czym piszę. Mimo to byłem raczej zaskoczony, że odebrał telefon, co samo w sobie jest anomalią wymagającą dochodzenia. „ Hej, piszę artykuł o oszustwach związanych z wstrzymywaniem poczty” - powiedziałem mu - „i użyję twojego numeru telefonu do założenia fałszywego konta. Prawdopodobnie otrzymasz kod potwierdzający. Czy możesz wysłać mi to SMS-a? ”
Sądząc po jego pobłażliwym nastawieniu, myślę, że mogłem mu powiedzieć, że w ramach eksperymentu zamierzam wyciągnąć mu paznokcie u nóg za pomocą szczypiec. - Jasne, śmiało - powiedział.
Powodem, dla którego spodziewałem się, że aplikacja wyśle kod potwierdzający, Kapitanie Oczywisty, jest to, że wszyscy w wieku 6 lat i starsze wiedzą, że tak się dzieje w całym Internecie, za każdym razem, gdy użytkownik próbuje uzyskać dostęp do aplikacji na nowym urządzenie lub zmień hasło. Robią to Microsoft, Google, Facebook, wszyscy wielcy, szanowani giganci.
Ale nie poczta. Po prostu wpisując numer mojego syna, udało mi się połączyć. Nie mogę zgadnąć, dlaczego ten proces wymagał nawet numeru telefonu, jeśli nie miał być używany do celów weryfikacji bezpieczeństwa. To było tak, jakby ekipa programistów Poczta mówiła: „ Hej, inni używają numeru telefonu” i brzmi to fajnie, zróbmy to też , bez rozważania uzasadnienia tego ruchu. Naprawdę było tak, jakby grupa małp siedziała wokół ciemnego ekranu, aby naśladować zachowanie ludzi podczas oglądania telewizji, a żadna z nich nie pomyślałaby o włączeniu przycisku zasilania.
Pokonałem wszystkie przeszkody, jak Edwin Moses zdobywając złoto olimpijskie i udało mi się przejść
Zrzut ekranu z telefonu Mela Carriere'a
Kilka rozwiązań z mojej małej główki pocztowej
Ale byłem w środku. Zrobiłem to. Z powodzeniem przeskoczyłem o tyczce na osławiony mały margines potencjału. Zostało tylko ustawienie mojej skrzynki pocztowej, co zrobiłem w weekend czwartego lipca. Więc chyba że inspektorzy pocztowi kiedyś wyważą moje drzwi lub załatwią mojemu synowi kajdanki za używanie jego numeru telefonu do złośliwych celów, myślę, że mój eksperyment zakończył się sukcesem. Albo porażka, w zależności od tego, jak na to spojrzysz.
Teraz muszę odrzucić pytanie, co ty, jako wrażliwy klient pocztowy, możesz zrobić, aby uniknąć rozpryśnięcia się przez ten urodzajny owoc, pękającego na winorośli w celu wybrania tożsamości. Odpowiedź brzmi: nic. Jest to całkowicie poza twoimi rękami i całkowicie na łasce ludzi, którzy kontrolują program. Z drugiej strony, być może jesteś mądrzejszy ode mnie, może już wymyśliłeś sposób na ochronę poczty przed przejęciem. Jeśli tak, podziel się tym z nami, bo jestem kompletnie oszołomiony, naprawdę zdziwiony, jak łatwo było mi założyć fałszywe „zweryfikowane” konto. Gdyby wzorowy obywatel, taki jak ja, mógł to zrobić, jestem pewien, że doświadczony przypadkowy złodziej mógłby to zrobić lepiej.
Wydaje się, że my , zagrożona publiczność, siedzimy tu bezradnie odsłonięci, jak królik na linie w jaskini wilków. Ale jest kilka łatwych rzeczy, które poczta mogłaby zrobić, aby zmniejszyć niewielki margines potencjalnych oszustw związanych z zatrzymaniem poczty. Nie jestem cyber-geniuszem, ledwie rozumiem odpowiednie skróty tekstowe, ale niektóre metody przyszły mi do głowy niemal natychmiast. Siedzę więc tutaj cały SMH , zastanawiając się, dlaczego guru programowania w centrali pocztowej o nich nie pomyśleli.
Przede wszystkim klienci mogli skonfigurować swoje konta, aby zrezygnować z blokad poczty. Można to również zrobić w przypadku świadomej dostawy i zmian adresu. Być może rezygnacja powinna być stanem domyślnym, więc przed zażądaniem jakiejkolwiek z tych rzeczy należy odznaczyć pole „rezygnacja”. Jako dodatkowy poziom bezpieczeństwa, zmiana opcji „rezygnacji” powinna wymagać podania kodu weryfikacyjnego za pośrednictwem numeru telefonu lub adresu e-mail podanego na koncie. Bez kodu, bez blokady, bez wyjątków. Dodatkowo aplikacja powinna rozpoznawać urządzenie. Jeśli klient zakłada konto telefonicznie, ale chce zrobić blokadę z laptopa, musi ponownie przejść procedurę kodu weryfikacyjnego. Ból w tyłku, ale to zamknęło kilka ziejących dziur w zabezpieczeniach przed kradzieżą.
Oczywiście sukces tych poprawek zależy od dopuszczenia tylko jednego konta pocztowego na klienta. To samo w sobie wyeliminowałoby wiele luk, choć nie wszystkie. Nie mógłbym założyć fałszywego konta, gdyby obowiązywała taka procedura, i uniemożliwiłaby to większość twojego podstawowego poziomu, niższej ligi, niezupełnie gotowej na złodziei w czasie największej oglądalności. Ktoś chce wykonać przekierowanie osoby z rezydencji na konto, które nie jest na niego zarejestrowane? Twardy titty powiedział kotek . Albo mogą namówić właściciela konta, żeby to zrobił, albo stanąć w kolejce do PO z prawem jazdy i jakimś dowodem pobytu w swoich lekkich rękach.
Gdyby moja maleńka szpilka pocztowa mogła wymyślić rozwiązania problemu oszustw związanych z zatrzymywaniem poczty, jestem pewien, że molochowie programistyczni z 1 L'Enfant Plaza poradziliby sobie znacznie lepiej.
Źródło: Według Tim1965 (Praca własna), "classes":}, {"izes ":," classes ":}]" data-ad-group = "in_content-11">