Съдържание:
- Пощенски Ин и Ян извън баланса
- Малка граница на потенциален компромис?
- Закон за пощенските информационни системи - за всяко положително действие, еднаква и противоположна наказателна реакция
- Експеримент за задържане на поща
- Код за потвърждение? Можем ли поне да изискваме код за потвърждение?
- Няколко решения от моята малка пощенска глава
- Кой е във вашата пощенска кутия?
Може ли вашата пощенска кутия да бъде смъртта на вас?
Захари ДеБотис
Пощенски Ин и Ян извън баланса
Няма съмнение, че интернет технологиите са отворили цял нов свят на възможности, революционизирайки начина, по който обществото извършва бизнес. Киберреволюцията съживи и бизнеса на пощенската служба на САЩ, отваряйки нови възможности за генериране на приходи, плюс рационализиране на безброй процеси. Преди десет години пощенски клиент не можеше да планира взимане на поща, не можеше да види какво ще бъде в пощенската кутия този ден, да проследи пакет в реално време или да въведе промяна на адресния ред от дома си. Повечето задачи, свързани с пощата, все още изискваха трудоемко попълване на формуляр в пощата.
Онлайн преработката през последните няколко години улесни живота и работата както на пощенските клиенти, така и на служителите. Както видяхме обаче с експлозията на интернет технологиите в безброй други индустрии, свръхновата на положителната промяна създава зловеща сянка. Добрите и лошите обикалят взаимно във фигура Ин и Ян, която не е символ на равновесие, а по-скоро образ на колело, заплашващо да излезе от релсите. За всяка технологична полза, която умните, добронамерени умове могат да приложат, някои също толкова умни, но злонамерени, изкривени мозъци ще измислят как да ги използват към зъл край.
Финансовите институции са хакнати, гигантите в социалните медии са хакнати, всички са хакнати в наши дни. Паролите за банкови сметки, социалноосигурителните номера и т.н. се оголват там пред злите очи на крадците, които тичат с невинна непозната самоличност, за да обират средства или да теглят заеми. В миналото това незаконно снабдяване с лична информация не изискваше усъвършенствани познания по компютърно програмиране. Всеки превозвач на писма е застанал пред квартална единица за доставка и събиране, направена в безполезна метална кутия, чиято зееща, разрушена врата се развява напред-назад от бриза, свидетелство за факта, че за кражбата на самоличност е необходим само лост и грубата сила то. Но сега, с автоматизирането на вековни пощенски процеси, инструментите за отваряне на огромния трезор с лични данни станаха по-усъвършенствани,и по-ефективно.
Тази статия се занимава главно с почитаната от времето институция за задържане на пощата или задържане на ваканция, както често е известна. Пощенските клиенти при излизане от града за няколко дни ще попълнят искане за задържане, за да пазят невзетата им поща от ръцете на крадци или дори ненадеждни членове на семейството. Но чрез автоматизиране на процеса на задържане на отпуските, за да улесни получателите на поща, дали Пощенската служба неволно е стимулирала бизнеса за онези крадци на поща, срещу които е била предназначена да защитава?
Кражбата на поща вече не изисква лост
Галерии на Мел Кариере
Малка граница на потенциален компромис?
Настоящото избухване на злоупотреба със задържане на поща не е първата инстанция, при която престъпниците с престъпници са подкопали пощенския процес за гнусни цели. Автоматизацията на американската поща автоматизира кражбата на пощенски продукти на крачка, като всяко ново приложение за телефон и уебсайт се оттеглят от линията. Препращането на поща е един такъв ярък пример. В моя собствен опит като превозвач на писма имах няколко случая на клиенти, които се оплакват, че пощата им се препраща на някой, когото не познават, без тяхно разрешение. Разбира се, пощенската служба изпраща писмо за потвърждение, за да потвърди препращането, но по-често те се хвърлят настрана като боклуци от неизвестен произход. Обикновено, когато жертвата на жертва осъзнае, че пощата им не се явява, вече им липсват няколко чувствителни елемента.
Всяка година се подават 37 милиона искания за промяна на адреса. Пощенският говорител Карън Мазуркевич, затрупан от оплаквания за измамни спедитори, се позова на това огромно хранилище на данни, твърдейки, че престъплението представлява малък запас от потенциален компромис . Фактът, че вече съм се сблъсквал с него няколко пъти, обаче показва, че проблемът е по-често срещан, отколкото говорителите на пощенските служби са склонни да признаят.
Друга плодородна среда за измама е Informed Delivery, процес, реализиран преди няколко години, който позволява на пощенските клиенти да видят предварително каква поща ще пристига този ден чрез имейл, който показва изображения на писма и пакети. Изглежда като полезна и полезна функция, която позволява на човек да избяга вкъщи и да извлече проверката на стимулите, преди лошите да ви бият, но има и непредвидени недостатъци.
Сигнал, разпространен от Тайните служби, предупреждава как крадците се възползват от информирана доставка за неправомерно извлечена печалба. „ … Вътрешният сигнал - изпратен от Тайната служба на 6 ноември до нейните партньори в областта на правоприлагането в цялата страна - се позовава на неотдавнашен случай в Мичиган, при който седем души бяха арестувани за кражба на кредитни карти от местни пощенски кутии, след като се регистрираха като тези жертви на уебсайта на USPS. "Чрез записване за информирана доставка на адреси, които не получават услугата, тези находчиви престъпници успяха да премахнат предположенията и стъпките на удряне на всяка пощенска кутия в блока. Вместо това те биха могли да определят фокуса си върху местоживеенията, които се виждат в приложението, за да получат кредитни карти или други финансово чувствителни инструменти. По този начин тези мошеници успяха да наберат 400 000 долара измамни такси по сметките на жертвите си.
Морал на историята? - Любопитни очи те наблюдават. Ако вече нямате информирана доставка, вземете я преди крадците, за да не се случва еднократното им забавление във вашата пощенска кутия. Имам го точно за тази цел, не толкова, за да мога да чета ежедневно генерираното съобщение, а за да не позволя на нежеланите, хищнически очи да надникнат в контейнера ми.
Какво има във вашата пощенска кутия? Може да не знаете, но ако нямате информирана доставка, има вероятност крадците на поща да знаят.
Закон за пощенските информационни системи - за всяко положително действие, еднаква и противоположна наказателна реакция
Така виждаме, че за всяко действие на пощенската служба за внедряване на полезен онлайн инструмент за своите клиенти, има еднаква и противоположна реакция в подземния свят на незаконните, за да се използват неговите слабости. И това ни отвежда до задържането на пощенска поща като източник на потенциална измама. Способността ви да попълните удобно заявката си за ваканция от вкъщи или телефонът ви всъщност прави обратното на предвиденото, като позволява на великолепните лайфлайфи да откраднат погрешно задържаната ви поща?
Анекдотичните доказателства, които натрупах като USPS превозвач на писма, ме карат да предположа. Само през последните две седмици срещнах две фалшиви задържания на поща. И в двата случая, след около седмица задържане на доставката, жителите влязоха в пощата, за да се оплачат.
Един от тези случаи включва член на семейството, който се опитва да спре собствената си кореспонденция, може би без да знае, че ваканцията спира пощата за цялото домакинство, а не само за отделно лице. Второто задържане на поща обаче е генерирано от лице, което собственикът на къщата не е познавал. Този мистериозен човек, за когото спекулиращият клиент може би е бил приятел на съквартиранта си, дори е поръчал няколко пакета. Не знам каква е крайната самоличност на притежателя на мистериозна поща, но и двата случая ме накараха да спекулирам колко лесно може да се използва задържането на поща за незаконни цели.
Първият случай показва, че отмъстителният роднина може лесно да използва задържане на поща като оръжие в продължаваща семейна вражда. Недоволният син или дъщеря може да иска да се изравни с мама, татко или баба, като държи пощата им или дори краде чековете им. Със сигурност би било възможно човек със същото фамилно име като получателя на чека да направи това, особено ако е младши и двете имена и фамилии съвпадат. Не казвам, че това се е случило тук, вероятно е било просто искрено неразбиране на процеса на задържане на пощата, но не ми казвайте, че други хора другаде не са опитвали.
Втората поява е по-скоро загадка. Защо законният приятел на съквартирант би трябвало да влезе в трюм, за да получава поща в дома си? Не можеше ли просто да каже „ хей, приятелю, имаш ли нещо против да изпратя пакет до теб“, след което да се отбие да го вземе по-късно? Това е достатъчно често срещана практика - хората не искат съпрузите или съпругите им да виждат изненадите за рождения им ден, така че те го изпращат другаде. Но не е нужно да спирате пощата на приятеля си, за да направите това, което ме кара да повярвам, че се е случвало нещо скучно. Фактът, че жителят не е познавал притежателя на пощата, ме кара да заключа, че някой, който се нуждае от физически адрес, е отвлякъл пощата на тази къща за няколко дни, след което може би е изчакал твърде дълго, за да я вземе в пощата.
Независимо от случая, инцидентът илюстрира множество начини, по които задържането на поща може да се използва за злоупотреби. Не мислете, че вашите професионални и аматьорски хайдути там не са мислили и са се опитвали да ги използват. Въпреки че членовете на семейството с лепкави пръсти и може би бездомните със сигурност са се опитвали да злоупотребяват със задържането на поща, има голяма вероятност кражбата на самоличност да е основната причина за експлоатацията на инструмента.
На 24 юни 2020 г. всъщност Службата за пощенска инспекция в река Том, Ню Джърси, докладва за разследване на измамни задържания на поща, където откраднати лични данни са използвани за кандидатстване за кредитни карти. Този съвсем скорошен епизод потвърждава съществуването и сериозността на проблема и предполага, че това може да е новата тенденция сред крадците на идентичност. Възможно ли е мародерите на пощенските кутии, възпиращи се от нарастващата трудност да получат пощата на жертвата да им бъде препратена, да се обърнат към вратичките в задържането на пощата като работа?
Докато семейства спокойно се разхождаха по крайбрежната алея на река Том, личните данни бяха откраднати от пощенските им кутии.
От Bakergrp - Собствена работа, Public Domain,
Експеримент за задържане на поща
Оказва се, че на о strich главата в пясъка на подход към сигурността в киберпространството не работи толкова добре за пощенските услуги. Неговият малък запас от потенциална мантра всъщност не успокоява клиентите, уплашени от призрака на кражба на самоличност. В отговор организацията най-накрая се разпадна и приложи мерки, предназначени да предотвратят отвлечени задържания. Ерик Зорн, пишейки в Chicago Tribune, казва, че през октомври 2019 г. USPS започва " … изискване от клиентите да създават потвърдени акаунти с потребителски имена, пароли и персонализирани въпроси за сигурност, преди да могат да поръчат задържания за почивка"
Ефективни ли са новите мерки за сигурност? С риск да се поставя на постоянна проба за задържане на поща, реших да отида на USPS.com и да се опитам да спра собствената си поща с различна самоличност. Използвах собственото си име, а не истинското си име и телефонен номер, който не ми принадлежи. Притеснява ме да съобщя, че успях, въпреки новите мерки за сигурност. Освен това процесът беше смущаващо лесен.
Наистина се надявах да сгреша. Наистина се надявах, че пощенската служба е заковала това, направила е цифровото затваряне на вратата, е заляла врага пред портите с врящо масло. Но уви, те не са.
Сега не се обаждайте на ченгетата или пощенските инспектори. Задържането на ваканцията беше поставено на собствената ми поща, за моя собствен адрес. Технически не мисля, че можете да бъдете арестувани за кражба на собствени неща. Може би греша в това, но пощенската служба е повече от погрешна, ако смятат, че са предотвратили измамите със задържане на поща с тези усилия за защита на лигата.
За да се предотврати възможна експлоатация на системата за задържане на поща, USPS сега изисква създаването на акаунт, но успях да създам нов акаунт с лекота на моя собствен адрес.
Екранна снимка от телефона на Мел Кариере
Код за потвърждение? Можем ли поне да изискваме код за потвърждение?
Разбира се, вече имах акаунт в USPS.com, така че трябваше да си взема нов. Като не ми позволи да създам дублиращ се акаунт за моя адрес, бих могъл да бъда отрязан рано, но аз изчистих това първо препятствие, без дори да докосна пръста си до върха.
Оттам се придвижвах бързо, лесно и безсрамно през стъпалата, чувствайки се като престъпник. След това пристигнах на мястото, което мислех, че ще бъде непреодолима преграда, ров в замъка, изпълнен с гладуващи, щракащи алигатори. Тук щях да стигна до пищящо спиране, да ми дадат стария хай, чукнат мъртъв.
Програмата ме подтикваше да въведа телефонния си номер. Спрях за момент, за да помисля, преди да мисля, че използването на собствения ми номер ще попречи на валидността на експеримента. Какво ще стане, ако програмата разпознае телефонния ви номер от другия ви акаунт и ви позволи да се плъзнете на тази основа? Помислих да попитам приятел дали мога да взема назаем номера му за експеримента, след което се спрях, мислейки, че може да се изненада и да повярва, че съм замесен в някакъв зъл пръстен за грабване на самоличност, какъвто бях. Затова вместо това се обадих на най-големия си син.
Той е единственият телефонен номер в семейния план, който няма същия префикс. Той е и единственият, който поне се прави, че се интересува от нещата, за които пиша. И все пак бях доста изненадан, че той отговори на телефона, което само по себе си е аномалия, която носи разследване. " Хей, пиша статия за измама със задържане на поща" , казах му, "и ще използвам вашия телефонен номер, за да създам фалшив акаунт. Вероятно ще получите код за потвърждение. Може ли, моля да ми го изпратите? "
Съдейки по разрешителното му отношение, мисля, че бих могъл да му кажа, че ще извадя ноктите на краката му с чифт клещи, като експеримент. " Да, разбира се, давай ", каза той.
Причината, поради която очаквах от приложението да изпрати код за потвърждение, капитан Очевиден, е, че всички на 6 и повече години знаят, че това се случва в ширината и ширината на Интернет, всеки път, когато потребител се опита да осъществи достъп до приложение на ново устройство или сменете парола. Microsoft, Google, Facebook, всички големи, почтени гиганти го правят.
Но не и пощенската служба. Просто като въведох номера на сина си, аз се справих. Не мога да предположа защо процесът дори изискваше телефонен номер, ако нямаше да бъде използван за целите на проверката на сигурността. Сякаш отрядът за разработка на софтуер за поща казваше „ Хей, другите хора използват телефонен номер и звучи страхотно, нека го направим и ние , без да обмисляме обосновката зад хода. Наистина, куп маймуни седяха около тъмен екран, за да имитират човешко поведение при гледане на телевизия, без никой от тях да мисли да включи бутона за захранване.
Преодолях всички препятствия като Едуин Моузес, спечелил олимпийско злато, и успях да се справя
Екранна снимка от телефона на Мел Кариере
Няколко решения от моята малка пощенска глава
Но аз бях вътре. Бях го направил. Успях успешно да прескачам прехваления малък потенциал. Оставаше само да настроя задържането на пощата си, което направих за четвъртия юли уикенд. Така че, освен ако пощенските инспектори скоро не ми избият вратата или не плеснат маншетите на сина ми, защото използва телефонния му номер за злонамерени цели, предполагам, че експериментът ми беше успешен. Или провал, в зависимост от това как го гледате.
Сега трябва да изхвърля въпроса какво можете да направите вие, като уязвим пощенски клиент, за да избегнете пръскането от този плодороден плод, пръснал узрялата лоза за бране на самоличност. Отговорът е нищо. Това е изцяло извън вашите ръце и напълно на милостта на хората, които контролират програмата. Тогава отново, може би сте по-умни от мен, може би вече сте измислили начин да защитите пощата си от отвличане. Ако е така, споделете го с нас, защото аз съм напълно зашеметен, наистина озадачен от това колко лесно ми беше да създам фалшив „проверен“ акаунт. Ако моделен гражданин като мен би могъл да го направи, сигурен съм, че опитен случаен крадец би могъл да го направи по-добре.
Изглежда, че ние , рисковата общественост, седим тук безпомощно изложени, като заек на въже в бърлога на вълци. Но има няколко лесни неща, които пощенската служба би могла да направи, за да намали малкия потенциал за измама със задържане на поща. Не съм кибер гений, по дяволите, едвам разбирам дори подходящите текстови съкращения, но някои методи ми хрумнаха почти моментално. Така че аз седя тук, всички SMH , чудейки се защо гурутата за разработка на софтуер в пощенската централа не се сетиха за тях.
На първо място, клиентите могат да настроят акаунтите си, за да се откажат от задържането на поща. Това може да се направи и за информирана доставка и промени в адреса. Може би отказът трябва да е състоянието по подразбиране, така че трябва да махнете отметката от квадратчето „отказ“, преди да поискате някое от тези неща. Като допълнителен слой сигурност, промяната на „отказването“ трябва да изисква код за потвърждение чрез телефонния номер или имейл, посочен в акаунта. Без код, без задържане, без изключения. Освен това приложението трябва да трябва да разпознава устройство. Ако клиент настрои акаунта по телефона, но иска да извърши задържането от лаптоп, той трябва да премине отново процедурата за проверка на кода. Болка в дупето, но тя затваря някои зеещи дупки в идентифициращите защитни средства срещу кражба.
Разбира се, успехът на тези корекции зависи от разрешаването само на една пощенска сметка на клиент. Това само по себе си би премахнало много от уязвимостите, макар и не всички. Не бих могъл да си създам фалшив акаунт, ако беше въведена тази процедура, и тя щеше да изключи по-голямата част от вашето начално ниво, второстепенна лига, не съвсем готова за крадци в праймтайма. Някой иска да направи индивидуално препращане от пребиваване по акаунт, който не е регистриран за него? Твърда синигерка каза котето . Или могат да накарат титуляра на акаунта да го направи, или да отидат да застанат на опашка в PO с шофьорска книжка и някакъв вид доказателство за пребиваване в полетните си ръце.
Ако моята миниатюрна пощенска глава можеше да измисли решения на проблема с измамата със задържане на поща, сигурен съм, че програмистите на 1 L'Enfant Plaza биха могли да се справят много по-добре.
Източник: От Tim1965 (Собствена работа), "класове":}, {"размери":, "класове":}] "data-ad-group =" in_content-11 ">