Зміст:
- Поштовий Інь та Ян неврівноважені
- Невеликий запас потенційного компромісу?
- Закон про поштові інформаційні системи - для кожної позитивної дії, рівної та протилежної кримінальної реакції
- Експеримент із утримуванням пошти
- Код підтвердження? Чи можемо ми як мінімум вимагати код підтвердження?
- Кілька рішень від моєї крихітної поштової голівки
- Хто у вашій поштовій скриньці?
Чи може ваша поштова скринька стати для вас смертю?
Захарі ДеБоттіс
Поштовий Інь та Ян неврівноважені
Немає сумнівів, що Інтернет-технології відкрили цілий новий світ можливостей, змінивши спосіб ведення бізнесу в суспільстві. Кіберреволюція також оживила бізнес Поштової служби США, відкривши нові можливості для отримання доходу, а також впорядкуючи незліченні процеси. Десять років тому поштовий клієнт не міг запланувати отримання пошти, не міг побачити, що буде в поштовій скриньці того дня, відстежити пакет в режимі реального часу або ввести зміну адресного замовлення з дому. Більшість завдань, пов’язаних з поштою, все ще вимагали складності заповнення форми на пошті.
Капітальний ремонт в Інтернеті за останні кілька років полегшив життя та роботу як поштовим споживачам, так і працівникам. Однак, як ми бачили з вибухом Інтернет-технологій у незліченних інших галузях, наднова позитивних змін створює зловісну тінь. Хороші і погані обертаються між собою у фігурі Інь і Ян, яка є не символом рівноваги, а більше зображенням колеса, що загрожує зійти з рейок. Для будь-якої технологічної вигоди, яку можуть застосувати розумні, доброзичливі уми, деякі настільки ж розумні, але зловмисні, перекручені мозки будуть розуміти, як використовувати їх для злого кінця.
Фінансові установи зламують, гігантів соціальних медіа зламують, усіх зараз хакають. Паролі банківських рахунків, номери соціального страхування тощо розкриваються там перед злими очима злодіїв, які бігають з невинною особою незнайомця, щоб скупити кошти або взяти позики. Раніше для цього незаконного закупівлі особистої інформації не потрібні були досконалі знання комп’ютерного програмування. Кожен перевізник листів стояв перед сусідським підрозділом доставки та перевезення в марну металеву коробку, її роззявлені, зруйновані двері плескали туди-сюди на вітрі, що свідчить про те, що для крадіжки особистих даних потрібно лише лом і грубу силу це. Але тепер, з автоматизацією вікових поштових процесів, інструменти для відкриття величезного сховища персональних даних стали більш досконалими,і ефективніше.
Ця стаття стосується, головним чином, визнаного часом інституту затримки пошти або відпустки, як це часто відомо. Клієнти поштового зв’язку, виїжджаючи з міста на кілька днів, заповнюватимуть запит на утримання, щоб зберегти свою незавантажену пошту від рук злодіїв або навіть ненадійних членів сім'ї. Але, автоматизуючи процес утримання відпусток, щоб полегшити одержувачам пошти, чи поштова служба мимоволі стимулювала бізнес для тих самих злодіїв пошти, яких вона мала захищати?
Для крадіжки пошти більше не потрібен лом
Галереї Мела Каррієра
Невеликий запас потенційного компромісу?
Нинішній спалах зловживань поштою - це не перший випадок, коли злочинці-підступники підривали поштовий процес для підлих цілей. Автоматизація американської пошти автоматизувала розкрадання поштових товарів на замовлення, і кожен новий телефонний додаток і функція веб-сайту відключаються від мережі. Пересилання пошти - один із таких кричущих прикладів. На власному досвіді роботи перевізника листів у мене було кілька випадків, коли клієнти скаржились на те, що їх пошта пересилається комусь, кого вони не знають, без їх дозволу. Звичайно, поштова служба надсилає підтверджувальний лист для підтвердження пересилання, але частіше за все вони викидаються убік непотрібного походження. Як правило, до того моменту, коли потерпілий клієнт розуміє, що їх пошта не з’являється, їм уже бракує кількох важливих предметів.
Щороку подається 37 мільйонів запитів на зміну адреси. Речник пошти Карен Мазуркевич, завалена скаргами на шахрайські форварди, звернулася до цього величезного сховища даних, стверджуючи, що злочин становить невеликий запас потенційного компромісу . Однак той факт, що я вже кілька разів стикався з цим, свідчить про те, що проблема є більш поширеною, ніж готові визнати представники поштової служби.
Ще одним благодатним середовищем для розмноження шахрайства є Інформована доставка - процес, впроваджений кілька років тому, що дозволяє поштовим споживачам заздалегідь бачити, яка пошта надійде в цей день, електронною поштою, яка відображає зображення листів та пакетів. Це схоже на вишукану та корисну функцію, яка дозволяє бігти додому та отримувати перевірку стимулу до того, як погані хлопці поб'ють вас, але вона також має непередбачений мінус.
Повідомлення, розповсюджене Секретною службою, попереджало про те, як злодії користуються Інформованою доставкою за неправомірну вигоду. " … Внутрішнє сповіщення, надіслане Секретною службою 6 листопада своїм правоохоронним партнерам по всій країні, посилається на нещодавній випадок у Мічигані, коли сім людей було заарештовано за те, що вони нібито викрали кредитні картки з поштових скриньок резидентів після реєстрації в якості тих жертв на веб-сайті USPS. "Зареєструвавшись для поінформованої доставки за адресами, які не отримують послугу, ці винахідливі злочинці змогли усунути здогади та рухи при натисканні на кожну поштову скриньку блоку. Натомість вони могли точно зосередитись на місцях проживання, які бачить додаток. кредитні картки або інші фінансово делікатні інструменти. Цим самим цим шахраям вдалося нарахувати 400 000 доларів шахрайських звинувачень на рахунки своїх жертв.
Мораль історії? - За вами спостерігають сторонні очі. Якщо у вас ще немає поінформованої доставки, отримайте її до того, як це зроблять злодії, щоб у вашій поштовій скриньці не відбувся їхній єдиний похід. У мене це саме для цієї мети, не стільки, щоб я міг читати щоденне повідомлення, а щоб уникнути небажаних, хижих очей, щоб вони не заглядали всередину моєї поштової посудини.
Що у вашій поштовій скриньці? Можливо, ви не знаєте, але якщо у вас немає інформованої доставки, існує ймовірність того, що злодії пошти знають.
Закон про поштові інформаційні системи - для кожної позитивної дії, рівної та протилежної кримінальної реакції
Отже, ми бачимо, що на кожну дію поштової служби щодо впровадження корисного Інтернет-інструменту для своїх споживачів існує однакова і протилежна реакція у підземному світі незаконного на використання його слабких сторін. І це призводить нас до поштової скриньки як джерела потенційного шахрайства. Ваша здатність зручно заповнювати запит на відпустку вдома або телефон насправді робить все навпаки за призначенням, дозволяючи чудовиським дурням красти вашу помилково затриману пошту?
Анекдотичні докази, які я накопичив як перевізник листів USPS, змушують мене здогадатися так. Лише за останні два тижні я зіткнувся з двома помилковими затримками пошти. В обох випадках, приблизно через тиждень затримання доставки, мешканці прийшли до пошти скаржитися.
Один з цих випадків стосувався члена сім'ї, який намагався зупинити власну листування, можливо, не знаючи, що відпустка зупиняє пошту для всього домогосподарства, а не лише для окремої людини. Однак друге затримання пошти було створено людиною, про яку власник будинку не знав. Ця таємнича особа, котра, за припущеннями клієнта, який дряпає голову, міг бути другом його сусідки по кімнаті, навіть замовила кілька пакунків. Я не знаю, якою виявилася остаточна особа власника таємничої пошти, але обидва ці випадки змусили мене припустити, як легко зберігати пошту можна використовувати в незаконних цілях.
Перший випадок демонструє, що мстивий родич міг легко використати поштову скриньку як зброю в умовах триваючої сімейної чвар. Невдоволений син чи дочка можуть прагнути зрівнятися з мамою, татом чи бабусею, тримаючи їх пошту або навіть кравши їх чеки. Безумовно, це могло б зробити особа з таким самим прізвищем, що й одержувач чека, особливо, якщо вона була молодшою і ім’я та прізвище збігалися. Я не кажу, що це те, що тут сталося, це, мабуть, було просто чесним нерозумінням процесу утримання пошти, але не кажіть мені, що інші люди в інших місцях ще не пробували.
Другий випадок - це швидше загадка. Чому законному другу сусіда по кімнаті потрібно було б покласти трюм, щоб отримувати пошту в своєму будинку? Чи не міг він просто сказати " привіт, приятелю, ти не заперечуєш, якщо я пришлю пакунок до тебе", а потім заскочити, щоб забрати його пізніше? Це досить поширена практика - люди не хочуть, щоб їхні чоловіки чи дружини бачили їхні сюрпризи на день народження, тому вони доставляють їх кудись інше. Але для цього не потрібно зупиняти пошту приятеля, що змушує мене вважати, що щось нечітке відбувалося. Той факт, що мешканець не знав власника пошти, змушує мене зробити висновок, що хтось, хто потребує фізичної адреси, викрав пошту цього будинку протягом декількох днів, то, можливо, зачекав трохи надто довго, щоб забрати її на пошті.
У будь-якому випадку, інцидент ілюструє безліч способів використання поштового режиму для зловживань. Не думайте, що ваші професійні та аматорські хайстери не замислювались і не намагались ними скористатися. Хоча члени сім'ї з липкими пальцями і, можливо, бездомні, безумовно, намагалися зловживати затриманням пошти, існує велика ймовірність того, що крадіжка особистості є основною причиною використання цього інструменту.
Фактично, 24 червня 2020 року Служба поштової інспекції у річці Том, штат Нью-Джерсі, повідомила про розслідування фактів шахрайства, де викрадені особисті дані використовувались для подання заявок на отримання кредитних карток. Цей зовсім недавній епізод підтверджує існування та серйозність проблеми та припускає, що це може бути нова тенденція серед злодіїв. Можливо, мародери поштових скриньок, стримуючись зростаючою складністю пересилання пошти жертви, звертаються до лазівки в поштовій скриньці як робоче завдання?
Поки сім’ї спокійно гуляли по набережній річки Том, з їхніх поштових скриньок розкрадали особисті дані.
Автор Bakergrp - власна робота, Public Domain,
Експеримент із утримуванням пошти
Виявляється, що O Strich голову в пісок підхід до кібербезпеки не працює так добре для поштової служби. Його невеликий запас потенційної мантри насправді не заспокоював споживачів, наляканих привидом крадіжки особистих даних. У відповідь організація нарешті вийшла з ладу та вжила заходів, спрямованих на запобігання викраденим затриманням. Ерік Зорн, пишучи в Chicago Tribune, каже, що в жовтні 2019 року USPS почав " … вимагати від клієнтів створювати перевірені акаунти з іменами користувачів, паролями та персоналізованими питаннями безпеки, перш ніж вони зможуть замовляти відпустки".
Чи ефективні нові заходи безпеки? Ризикуючи поставити себе на постійний випробувальний термін, я вирішив зайти на USPS.com і спробувати зупинити власну пошту з іншою особою. Я використав своє прізвище, а не своє справжнє, та номер телефону, який мені не належав. Мене засмучує повідомлення про те, що я досяг успіху, незважаючи на нові заходи безпеки. Крім того, процес був надзвичайно легким.
Я справді сподівався, що помилюсь. Я справді сподівався, що поштова служба забила це, зробила цифровий хлюпання дверей, облила ворога біля воріт киплячою олією. Але на жаль, вони цього не зробили.
Тепер не дзвоніть ні копам, ні поштовим інспекторам. Відпустка була розміщена на мою власну пошту за моєю власною адресою. Технічно я не думаю, що вас можуть заарештувати за крадіжку власних речей. Можливо, я не правий у цьому, але поштова служба більше ніж помиляється, якщо вони вважають, що запобігли шахрайству із затримкою пошти цими зусиллями безпеки ліги.
Щоб запобігти можливому використанню системи утримання пошти, USPS зараз вимагає створення облікового запису, але мені вдалося легко створити новий обліковий запис за своєю адресою.
Знімок екрана з телефону Мела Керрієра
Код підтвердження? Чи можемо ми як мінімум вимагати код підтвердження?
Звичайно, у мене вже був обліковий запис USPS.com, тому мені довелося придбати новий. Не дозволивши мені створити дублікат облікового запису для моєї адреси, я міг би бути відкинутий на початку, але я зняв цю першу перешкоду, навіть не натиснувши пальцем ноги на верхню частину.
Звідти я швидко, легко та безсоромно просувався східцями, почуваючись злочинцем. Потім я прибув до місця, яке, на мою думку, було б нездоланною перегородкою, замковим ровом, наповненим голодними, щільними алігаторами. Тут я збирався зупинитися вереск, дати мені старий підйом, забитий моїми слідами.
Програма підказувала мені ввести свій номер телефону. Я зупинився на хвилинку, щоб подумати, перш ніж думати, що використання мого власного номера заважатиме валідності експерименту. Що робити, якщо програма розпізнає ваш номер телефону з іншого облікового запису і дозволить вам просунутися на цій основі? Я подумав про те, щоб попросити друга, чи можу я позичити його номер для експерименту, а потім зупинився, думаючи, що він може здивуватися, повіривши, що я причетний до якогось злого кільця, що викрадає особистість, яким я і була. Тож я зателефонувала натомість своєму старшому синові.
Це єдиний номер телефону в сімейному плані, який не має однаковий префікс. Він також єдиний, хто принаймні вдає, що зацікавлений у матеріалах, про які я пишу. Тим не менше, я був здивований тим, що він відповів на телефон, що саме по собі є аномалією, яка вимагає розслідування. " Гей, я пишу статтю про шахрайство з поштою", - сказав я йому, - і я скористаюся вашим номером телефону для створення фіктивного облікового запису. Ви, мабуть, отримаєте код підтвердження. Чи можете ви, будь ласка? текст для мене? "
Судячи з його поблажливого ставлення, я думаю, що міг би сказати йому, що збирався витягти йому нігті на ногах за допомогою плоскогубців, як експеримент. " Так, звичайно, вперед ", - сказав він.
Причина, через яку я очікував, що програма надішле код підтвердження, капітан Очевидний, полягає в тому, що всі віком від 6 років знають, що саме це відбувається по всій Інтернеті, кожен раз, коли користувач намагається отримати доступ до програми на новій пристрою або змінити пароль. Це роблять Microsoft, Google, Facebook, усі великі, поважні гіганти.
Але не Поштова служба. Просто ввівши номер сина, я пройшов. Я не можу здогадатися, чому процес навіть вимагав номер телефону, якщо він не збирався використовуватись для перевірки безпеки. Це було так, ніби команда з розробки програмного забезпечення для пошти казала: Гей, інші хлопці використовують номер телефону, і це звучить круто, давайте зробимо це теж , не враховуючи обґрунтування цього кроку. Справді, це було так, якби купу мавп сиділи навколо темного екрану, щоб імітувати поведінку людей, які дивляться телевізор, і ніхто з них не думав увімкнути кнопку живлення.
Я зняв усі перепони, як Едвін Мойсей, який виграв олімпійське золото, і зміг пройти
Знімок екрана з телефону Мела Керрієра
Кілька рішень від моєї крихітної поштової голівки
Але я був там. Я це зробив. Я успішно стрибнув із жердиною хвалене невеликий запас потенціалу. Залишилось лише налаштувати моє зберігання пошти, що я зробив четвертих липневих вихідних. Тож якщо поштові інспектори колись незабаром не збиють мої двері або не ляснуть манжетами мого сина за те, що він використовував його номер телефону у зловмисних цілях, я думаю, мій експеримент мав успіх. Або невдача, залежно від того, як ви на це дивитесь.
Тепер мені потрібно викинути питання про те, що ви, як вразливий поштовий клієнт, можете зробити, щоб уникнути бризок цього родючого плоду, що лопне дозрілим на лозі для збору особистості. Відповідь - нічого. Це повністю з ваших рук і повністю на милість людей, які контролюють програму. Знову ж таки, можливо, ти розумніший за мене, можливо, ти вже придумав спосіб захистити свою пошту від викрадення. Якщо так, поділіться з нами, тому що я зовсім одурманений, по-справжньому містифікований тим, як легко мені було створити підставний "перевірений" рахунок. Якби такий взірцевий громадянин, як я, міг це зробити, я впевнений, досвідчений випадковий злодій міг би це зробити краще.
Здається, ми , громадськість групи ризику, сидимо тут безпомічно оголені, як кролик на мотузці у вовчій лігві. Але є кілька простих речей, які поштова служба може зробити, щоб зменшити малий запас потенціалу для шахрайства з поштою. Я не кібер-геній, чорт візьми, я ледве навіть розумію відповідні абревіатури текстових повідомлень, але деякі методи прийшли мені в голову майже миттєво. Тож я сиджу тут, у всіх ЗМЗ , і дивуюсь, чому гуру з розробки програмного забезпечення в поштовому штабі не думали про них.
Перш за все, клієнти могли створити свої рахунки, щоб відмовитись від затримки пошти. Це також можна зробити для інформованої доставки та зміни адреси. Можливо, вимкнення повинно бути станом за замовчуванням, тому перед тим, як подавати запит на будь-яку з цих речей, потрібно зняти прапорець "відмовитись". Як додатковий рівень безпеки, зміна "відмови" повинна вимагати код підтвердження через номер телефону або електронну адресу, вказану в обліковому записі. Ні коду, ні затримки, ні винятків. Крім того, програма повинна розпізнавати пристрій. Якщо клієнт створює обліковий запис по телефону, але хоче зробити затримку з ноутбука, йому доведеться знову пройти процедуру перевірки коду. Біль у попі, але це цвяхи закриває деякі зяючі отвори в ідентифікуючих захисних засобах від крадіжок.
Звичайно, успіх цих виправлень залежать від того, щоб дозволити лише один поштовий рахунок на кожного клієнта. Це саме по собі усуне багато вразливих місць, хоча і не всіх. Я б не міг створити свій фіктивний рахунок, якби ця процедура була на місці, і це закрило б більшу частину вашого початкового рівня, другорядна ліга, не зовсім готова до крадіїв основного часу. Хтось хоче переслати особу з місця проживання на рахунок, який їм не зареєстрований? Жорстка цицька сказала кошеня . Або вони можуть змусити власника рахунку зробити це, або йти стояти в черзі в PO з водійським посвідченням та якимось підтвердженням місця проживання в своїх літаючих руках.
Якби мій крихітний поштовий голівка міг придумати рішення проблеми з шахрайством із затримкою пошти, я впевнений, що програмісти-програмісти в 1 L'Enfant Plaza можуть зробити набагато краще.
Джерело: Автор Tim1965 (власна робота), "класи":}, {"розміри":, "класи":}] "data-ad-group =" in_content-11 ">