Obsah:
- Poštovní jin a jang nejsou v rovnováze
- Malá marže potenciálního kompromisu?
- Zákon o poštovních informačních systémech - za každou pozitivní akci, rovnou a opačnou trestní reakci
- Experiment se zadržením pošty
- Potvrzovací kód? Můžeme alespoň vyžadovat potvrzovací kód?
- Několik řešení z mé malé poštovní špendlíkové hlavičky
- Kdo je ve vaší schránce?
Mohla by být vaše schránka smrtí vás?
Zachary DeBottis
Poštovní jin a jang nejsou v rovnováze
Není pochyb o tom, že internetová technologie otevřela zcela nový svět možností a revoluci ve způsobu, jakým společnost podniká. Kybernetická revoluce oživila i podnikání poštovních služeb Spojených států, otevřela nové příležitosti pro generování výnosů a zefektivnila nespočet procesů. Před deseti lety si poštovní zákazník nemohl naplánovat vyzvednutí pošty, nemohl vidět, co se ten den ve schránce bude nacházet, sledovat zásilku v reálném čase nebo zadat změnu adresy z domova. Většina úkolů souvisejících s poštou stále vyžadovala drinu vyplňování formuláře na poště.
Online generální oprava v posledních několika letech usnadnila život a práci jak poštovním zákazníkům, tak zaměstnancům. Jak jsme však viděli při explozi internetových technologií v nesčetných dalších průmyslových odvětvích, supernova pozitivních změn vytváří zlověstný stín. Dobří a špatní se navzájem obíhají v postavě Yin a Yang, která není symbolem rovnováhy, ale spíše obrazem kola, které hrozí, že spadne z koleje. Pro každou technologickou výhodu, kterou mohou chytré, benevolentní mysli implementovat, bude někdo stejně chytrý, ale zlomyslný, zkroucený mozek vymyslet, jak ji využít ke zlému konci.
Finanční instituce jsou hacknuty, obři sociálních médií jsou hacknuti, každý je dnes hacknut. Hesla bankovních účtů, čísla sociálního zabezpečení atd. Jsou tam odhalena před zlými očima zlodějů, kteří utíkají s identitou nevinného cizince, aby se zbavili finančních prostředků nebo si vzali půjčky. V minulosti toto nezákonné získávání osobních údajů nevyžadovalo propracované znalosti počítačového programování. Každý přepravce dopisů stál před doručovací a sběrnou jednotkou v okolí, která byla přeměněna na zbytečnou kovovou krabici a její rozevřené, zničené dveře se houpaly ve větru, což svědčí o tom, že krádež identity vyžaduje pouze páčidlo a hrubou sílu k použití to. Ale nyní, s automatizací starých poštovních procesů, se nástroje na otevření otevřené klenby osobních údajů staly sofistikovanějšími,a efektivnější.
Tento článek se zabývá především časově uznávanou institucí zadržování pošty nebo prázdninových pozdržení, jak je často známo. Poštovní zákazníci na cestě z města na několik dní vyplní žádost o zadržení, aby jejich nevyžádaná pošta nebyla v rukou zlodějů nebo dokonce nespolehlivých členů rodiny. Ale automatizací procesu zadržení dovolené, která usnadňuje příjemcům pošty, poslala poštovní služba nevědomky podporu podnikání právě těm zlodějům pošty, před kterými měla být chráněna?
Krádež pošty už nevyžaduje páčidlo
Galerie Mel Carriere
Malá marže potenciálního kompromisu?
Současné vypuknutí zneužití držených poštovních zásilek není prvním případem, kdy opatrní zločinci rozvrátili poštovní proces za hanebné účely. Automatizace pošty v USA zautomatizovala krádež poštovních produktů v lockstepu. Jedním z takových do očí bijících příkladů je přeposílání pošty. Z mé vlastní zkušenosti jako přepravce dopisů jsem měl několik případů, kdy si zákazníci stěžovali, že jejich pošta je bez jejich svolení předávána někomu, koho neznají. Poštovní služba samozřejmě zasílá ověřovací dopis, který potvrdí přeposlání, ale častěji než tyto jsou odhodeny stranou jako harampádí neznámého původu. Typicky, v době, kdy si viktimizovaný zákazník uvědomí, že jejich pošta je no-show, již jim chybí několik citlivých položek.
Každý rok je podáno 37 milionů žádostí o změnu adresy. Mluvčí pošty Karen Mazurkiewicz, zaplavená stížnostmi na podvodné přeposílání, odkazovala na toto rozsáhlé úložiště údajů a tvrdila, že trestný čin představuje malou rezervu potenciálního kompromisu . Skutečnost, že jsem se s ní již několikrát setkala, však naznačuje, že problém je častější, než jsou ochotni připustit mluvčí poštovní služby.
Další úrodnou živnou půdou pro podvody je Informed Delivery, proces zavedený před několika lety, který umožňuje poštovním zákazníkům předem vidět, jaký mail dorazí ten den, prostřednictvím e-mailu, který zobrazuje obrázky dopisů a balíků. Vypadá to jako šikovná a užitečná funkce, která člověku umožňuje běžet domů a získat kontrolu stimulů dříve, než vás padouchy zbijí, ale má také nepředvídanou nevýhodu.
Výstraha šířená tajnou službou varovala před tím, jak zloději využívají výhody informovaného doručení k získání špatného zisku. „ … Interní výstraha - zaslaná tajnou službou 6. listopadu jejím partnerům na vymáhání práva na celostátní úrovni - odkazuje na nedávný případ v Michiganu, ve kterém bylo zatčeno sedm lidí za údajné krádež kreditních karet z poštovních schránek rezidentů poté, co se zaregistrovali jako tyto oběti na webových stránkách USPS. „Přihlášením k informovanému doručování na adresy, které tuto službu neobdrží, dokázali tito vynalézaví zločinci eliminovat dohady a kroky zásahu do každé poštovní schránky v bloku. Místo toho mohli přesně určit své zaměření na rezidence zobrazené v aplikaci, která má přijímat kreditní karty nebo jiné finančně citlivé nástroje. Tímto podvodníkům se podařilo na účty svých obětí nashromáždit 400 000 dolarů podvodných poplatků.
Morálka příběhu? - Sledující oči tě sledují. Pokud ještě nemáte Informované doručení, pořiďte si je dříve, než to udělají zloději, aby se ve vaší schránce neuskutečnilo jejich řádné nakupování. Mám to přesně pro tento účel, ne natolik, abych mohl číst zprávy generované denně, ale abych zabránil tomu, aby do mé poštovní schránky vykukovaly nechtěné, dravé oči.
Co je ve vaší poštovní schránce? Možná nevíte, ale pokud nemáte Informované doručení, existuje šance, že to zloději pošty dělají.
Zákon o poštovních informačních systémech - za každou pozitivní akci, rovnou a opačnou trestní reakci
Vidíme tedy, že na každou akci Poštovní služby při implementaci užitečného online nástroje pro její zákazníky existuje v podsvětí protiprávní situace stejná a opačná, aby bylo možné využít jejích slabin. A to nás přivádí k pozdržení poštovní pošty jako zdroje potenciálního podvodu. Je vaše schopnost pohodlně vyplnit vaši žádost o dovolenou z domova nebo z vašeho telefonu skutečně opak opakovaného zamýšleného účelu tím, že umožňujete krádežím nízkozdvižných letadel ukrást vaši chybně zadrženou poštu?
Neoficiální důkazy, které jsem nashromáždil jako dopisní přepravce USPS, mě nutí hádat ano. Jen za poslední dva týdny jsem narazil na dvě pozdržení falešné pošty. V obou případech po zhruba týdnu zadržení dodávky přišli obyvatelé na poštu stěžovat si.
Jeden z těchto případů zahrnoval člena rodiny, který se snažil zastavit svou vlastní korespondenci, možná aniž by věděl, že pozastavení dovolené zastaví poštu pro celou domácnost, nejen pro jednotlivce. Druhé zadržení pošty však vygenerovala osoba, kterou majitel domu neznal. Tento záhadný jedinec, o kterém spekulující zákazník poškrábal hlavu, mohl být přítelem svého spolubydlícího, si dokonce objednal několik balíčků. Nevím, jaká byla konečná identita držitele záhadné pošty, ale oba tyto případy mě přiměly spekulovat o tom, jak snadno lze zadržení pošty použít k nezákonným účelům.
První případ ukazuje, že mstivý příbuzný mohl snadno použít zadržení pošty jako zbraň v probíhajícím rodinném sporu. Nespokojený syn nebo dcera by se možná chtěli dostat k matce, tátovi nebo babičce tím, že jim podrží poštu nebo dokonce ukradnou šeky. Bylo by jistě možné, aby to udělal člověk se stejným příjmením jako příjemce šeku, zvláště pokud byli mladší a shodovali se jméno i příjmení. Neříkám, že se to stalo tady, pravděpodobně to bylo jen upřímné nedorozumění procesu zadržování pošty, ale neříkej mi, že se to jiní lidé jinde nesnažili.
Druhý výskyt je spíše hlavolam. Proč by legitimní přítel spolubydlícího potřeboval zadržet příjem pošty v jeho domě? Nemohl jen říct „ hej, kámo, nevadí ti, když ti nechám poslat balíček,“ a pak se otočit a vyzvednout si ho později? Toto je běžná praxe - lidé nechtějí, aby jejich manželé viděli jejich narozeninová překvapení, a proto je nechali poslat jinam. Ale k tomu nemusíte zastavovat poštu svého kamaráda, což mě vede k přesvědčení, že se děje něco povrchního. Skutečnost, že rezident neznal držitele pošty, mě vede k závěru, že někdo, kdo potřebuje fyzickou adresu, unesl poštu tohoto domu na několik dní, pak možná čekal příliš dlouho, než si ji vyzvedl na poště.
Ať je to jakkoli, incident ilustruje množství způsobů, jakými lze zadržení pošty zneužít. Nemyslete si, že vaši profesionální a amatérští šermíři tam venku nepřemýšleli a nepokusili se je použít. Ačkoli se členové rodiny s lepkavými prsty a možná i bezdomovci určitě pokusili zneužít zadržování pošty, existuje vysoká pravděpodobnost, že krádež identity je hlavním důvodem zneužití nástroje.
24. června 2020 ve skutečnosti Poštovní inspekční služba v Tomově řece v New Jersey ohlásila vyšetřování podvodných pozdržení pošty, kde byly odcizené osobní údaje použity k podání žádosti o kreditní karty. Tato velmi nedávná epizoda potvrzuje existenci a závažnost problému a naznačuje, že to může být nový trend mezi zloději identity. Je možné, že se nájezdníci poštovních schránek, odrazeni rostoucími obtížemi při předávání pošty oběti, obracejí k mezerám v zadržování pošty jako řešení problému?
Když rodiny v klidu procházely promenádou Tomovy řeky, z jejich poštovních schránek byly ukradeny osobní údaje.
Autor Bakergrp - vlastní práce, public domain,
Experiment se zadržením pošty
Ukazuje se, že hlava o strich v pískovém přístupu k kybernetické bezpečnosti nefungovala pro Poštovní službu tak dobře. Její malá rezerva potenciální mantry nebyla ve skutečnosti uklidňujícími zákazníky vyděšenými přízrakem krádeže identity. V reakci na to se organizace nakonec zhroutila a zavedla opatření, která mají zabránit únosům. Eric Zorn, který píše na Chicago Tribune, říká, že v říjnu 2019 začal USPS „ … požadovat od zákazníků, aby si vytvořili ověřené účty s uživatelskými jmény, hesly a personalizovanými bezpečnostními otázkami, než si budou moci objednat dovolenou.
Jsou nová bezpečnostní opatření účinná? S rizikem, že se dostanu na trvalou podmínku zadržení pošty, jsem se rozhodl jít na USPS.com a pokusit se zastavit svou vlastní poštu s jinou identitou. Použil jsem své pseudonym, ne své skutečné, a telefonní číslo, které mi nepatřilo. Zneklidňuje mě, když mohu oznámit, že jsem uspěl navzdory novým bezpečnostním opatřením. Proces byl navíc trapně snadný.
Opravdu jsem doufal, že se budu mýlit. Opravdu jsem doufal, že to poštovní služba přibil, udělal digitální zabouchnutí dveří, polil nepřítele u bran ve vroucím oleji. Ale bohužel ne.
Nyní nevolajte policajty ani poštovní inspektory. Pozastavení dovolené bylo umístěno na mou vlastní poštu, na mou vlastní adresu. Technicky si nemyslím, že vás mohou zatknout za krádež vlastních věcí. Možná se v tom mýlím, ale Poštovní služba se více než mýlí, pokud si myslí, že zabránily podvodům s držením pošty v těchto bezpečnostních snahách o ligu.
Aby se zabránilo možnému zneužití systému zadržování pošty, USPS nyní vyžaduje vytvoření účtu, ale byl jsem schopen snadno vytvořit nový účet na svou vlastní adresu.
Screenshot z telefonu Mel Carriere
Potvrzovací kód? Můžeme alespoň vyžadovat potvrzovací kód?
Samozřejmě jsem již měl účet USPS.com, takže jsem musel získat nový. Když mi nedovolím vytvořit duplicitní účet pro moji adresu, mohl jsem být v zárodku brzděn brzy, ale vyčistil jsem tuto první překážku, aniž bych si prsty přitiskl na vrchol.
Odtamtud jsem se rychle, snadno a nestydatě pohyboval po schodech a cítil jsem se jako zločinec. Pak jsem dorazil na místo, o kterém jsem si myslel, že bude nepřekonatelným zátarasem, hradní příkop naplněný hladovějícími aligátory. Tady jsem se chystal zastavit skřípání, dostal jsem staré zvedavé ho, které jsem v mých stopách srazil mrtvý.
Program mě vyzýval k zadání mého telefonního čísla. Na okamžik jsem se nad tím zamyslel, než jsem si myslel, že použití vlastního čísla by narušilo platnost experimentu. Co když program rozpozná vaše telefonní číslo z vašeho druhého účtu a umožní vám na tomto základě proklouznout? Přemýšlel jsem o tom, že bych se zeptal přítele, jestli bych si mohl na experiment zapůjčit jeho číslo, a pak jsem se zastavil v domnění, že by mohl být vyveden z míry, protože jsem věřil, že budu zapojen do nějakého zlého prstenu chytajícího identitu, kterým jsem byl. Místo toho jsem zavolal svého nejstaršího syna.
Jeho je jediné telefonní číslo v rodinném tarifu, které nemá stejnou předponu. Je také jediný, kdo alespoň předstírá, že ho zajímají věci, o kterých píšu. Přesto mě docela překvapilo, že odpověděl na telefon, což bylo samo o sobě anomálií, která nese vyšetřování. „ Hej, píšu článek o podvodu s pozdržením pošty,“ řekl jsem mu, „a pomocí tvého telefonního čísla nastavím falešný účet. Pravděpodobně dostaneš potvrzovací kód. Můžeš prosím napiš mi to? "
Soudě podle jeho tolerantního přístupu si myslím, že jsem mu mohl říct, že mu jako experiment vytáhnu nehty na nohou pomocí kleští. „ Ano, určitě, pokračujte, “ řekl.
Důvod, proč jsem očekával, že aplikace pošle potvrzovací kód, kapitáne Obvious, je ten, že všichni ve věku od 6 let vědí, že k tomu dochází v celé šíři a šíři internetu, pokaždé, když se uživatel pokusí o přístup k aplikaci na novém zařízení nebo změnit heslo. Microsoft, Google, Facebook, všichni velcí, vážení giganti to dělají.
Ale ne poštovní služba. Pouhým zadáním čísla mého syna jsem se dostal přes. Nemohu hádat, proč tento proces dokonce vyžadoval telefonní číslo, pokud nebylo použito pro účely ověření zabezpečení. Bylo to, jako když vývojová jednotka poštovního softwaru říkala Ahoj, ostatní používají telefonní číslo a zní to skvěle, udělejme to také , aniž bychom zvážili důvody, které k tomu vedly. Opravdu to bylo, kdyby kolem tmavé obrazovky seděla skupina lidoopů, která napodobovala chování při sledování lidské televize, aniž by někdo z nich myslel na zapnutí.
Vymazal jsem všechny překážky, jako když Edwin Mojžíš vyhrál olympijské zlato, a dokázal jsem se dostat skrz
Screenshot z telefonu Mel Carriere
Několik řešení z mé malé poštovní špendlíkové hlavičky
Ale byl jsem uvnitř. Udělal jsem to. Úspěšně jsem skokem o tyči vychloubal malou rezervu potenciálu. Zbývalo jen nastavit blokování pošty, což jsem udělal čtvrtý červencový víkend. Takže pokud mi poštovní inspektoři někdy brzy nezasáhnou dveře nebo mi nepoklepou pouta na syna za použití jeho telefonního čísla ke škodlivým účelům, myslím, že můj experiment byl úspěšný. Nebo selhání, podle toho, jak se na to díváte.
Nyní musím vyhodit otázku, co můžete vy, jako zranitelný poštovní zákazník, udělat, abyste se vyhnuli potřísnění tímto úrodným ovocem a prasknutím zralého na vinici pro sběr identity. Odpověď není nic. Je to zcela mimo vaše ruce a zcela na milost a nemilost lidí, kteří program řídí. Pak jste možná chytřejší než já, možná jste již vymysleli způsob, jak ochránit vaši poštu před únosem. Pokud ano, podělte se o to s námi, protože jsem naprosto zmatený, opravdu mystifikovaný tím, jak snadné pro mě bylo vytvořit falešný „ověřený“ účet. Pokud by to dokázal vzorový občan jako já, jsem si jistý, že zkušený náhodný zloděj by to dokázal lépe.
Zdá se, že my , riziková veřejnost, tu sedíme bezmocně vystaveni, jako králík na laně v doupěti vlků. Existuje však několik snadných věcí, které by poštovní služba mohla udělat, aby snížila malou rezervu potenciálu pro podvody s držením pošty. Nejsem žádný kybernetický génius, sakra sotva rozumím příslušným zkratkám textových zpráv, ale některé metody mě napadly téměř okamžitě. Takže tady sedím celý SMH a přemýšlím, proč na ně guru vývoje softwaru v poštovním ústředí nemysleli.
Nejprve by zákazníci mohli nastavit své účty tak, aby se odhlásili z pozdržení pošty. To lze provést také pro informované doručení a změny adresy. Možná by odhlášení mělo být výchozím stavem, takže před vyžádáním kterékoli z těchto věcí je nutné zrušit zaškrtnutí políčka „odhlásit“. Jako další vrstva zabezpečení by změna „odhlášení“ měla vyžadovat ověřovací kód prostřednictvím telefonního čísla nebo e-mailu uvedeného v účtu. Žádný kód, žádné blokování, žádné výjimky. Aplikace by navíc měla rozpoznat zařízení. Pokud si zákazník založí účet telefonicky, ale chce provést pozastavení z notebooku, musí znovu projít postupem ověřovacího kódu. Bolest v zadku, ale nehty uzavřely zející otvory v obraně proti krádeži.
Úspěch těchto oprav je samozřejmě podmíněn povolením pouze jednoho poštovního účtu na zákazníka. To by samo o sobě eliminovalo mnoho zranitelných míst, i když ne všechny. Nemohl bych vytvořit svůj falešný účet, kdyby byl tento postup zaveden, a to by vyřadilo většinu vaší vstupní úrovně, malé ligy, není úplně připraveno na zloděje v hlavním vysílacím čase. Někdo chce udělat jednotlivce vpřed z bydliště na účet, který pro něj není zaregistrován? Tvrdá prsa řekla koťátko . Buď mohou přimět držitele účtu, aby to udělal, nebo se postavit do řady v PO s řidičským průkazem a jakýmsi dokladem o pobytu ve svých letmých rukou.
Pokud by moje malá poštovní špendlíková hlavička mohla vymyslet řešení problému s podvody se zadržováním pošty, jsem si jistý, že programovací velikáni v 1 L'Enfant Plaza by mohli být mnohem lepší.
Zdroj: Autor Tim1965 (vlastní práce), "classes":}, {"sizes":, "classes":}] "data-ad-group =" in_content-11 ">