Tabla de contenido:
- Yin y Yang postal desequilibrados
- ¿Pequeño margen de compromiso potencial?
- Ley de sistemas de información postal: por cada acción positiva, una reacción criminal igual y opuesta
- Un experimento de retención de correo
- ¿Código de confirmación? ¿Podemos al menos exigir un código de confirmación?
- Algunas soluciones de My Tiny Postal Pinhead
- ¿Quién está en su buzón?
¿Tu buzón de correo podría ser tu muerte?
Zachary DeBottis
Yin y Yang postal desequilibrados
No hay duda de que la tecnología de Internet ha abierto un mundo completamente nuevo de posibilidades, revolucionando la forma en que la sociedad hace negocios. La revolución cibernética también ha revitalizado el negocio del Servicio Postal de los Estados Unidos, abriendo nuevas oportunidades para la generación de ingresos, además de agilizar innumerables procesos. Hace diez años, un cliente postal no podía programar una recolección de correo, no podía ver lo que iba a haber en el buzón ese día, rastrear un paquete en tiempo real o ingresar una orden de cambio de dirección desde casa. La mayoría de las tareas relacionadas con el correo aún requerían la monotonía de completar un formulario en la oficina de correos.
La revisión en línea de los últimos años ha facilitado la vida y el trabajo tanto para los clientes como para los empleados. Sin embargo, como hemos visto con la explosión de la tecnología de Internet en muchas otras industrias, la supernova del cambio positivo crea una sombra siniestra. Lo bueno y lo malo se orbitan entre sí en una figura de Yin y Yang que no es un símbolo de equilibrio, sino más bien la imagen de una rueda que amenaza con descarrilarse. Por cada beneficio tecnológico que las mentes inteligentes y benevolentes puedan implementar, algunos cerebros igualmente inteligentes pero malévolos y retorcidos descubrirán cómo usarlo para un fin malvado.
Las instituciones financieras son pirateadas, los gigantes de las redes sociales son pirateados, todos son pirateados en estos días. Las contraseñas de las cuentas bancarias, los números de la seguridad social, etc., quedan al descubierto ante los malvados ojos de los ladrones, que corren con la identidad de un extraño inocente para robar fondos o pedir préstamos. En el pasado, esta obtención ilícita de información personal no requería un conocimiento sofisticado de programación informática. Cada cartero se ha parado frente a una unidad de entrega y recolección del vecindario convertida en una caja de metal inútil, su puerta abierta y demolida se agita hacia adelante y hacia atrás con la brisa, un testimonio del hecho de que el robo de identidad solo requiere una palanca y la fuerza bruta para usar. eso. Pero ahora, con la automatización de los antiguos procesos postales, las herramientas para abrir la vasta bóveda de datos personales se han vuelto más sofisticadas.y más eficaz.
Este artículo trata principalmente de la institución consagrada de la retención por correo, o retención por vacaciones, como se la conoce a menudo. Los clientes postales que salgan de la ciudad durante unos días completarán una solicitud de retención para mantener el correo no recuperado de manos de ladrones o incluso de familiares poco confiables. Pero al automatizar el proceso de retención por vacaciones para que sea más fácil para los destinatarios del correo, ¿ha impulsado el Servicio Postal sin saberlo el negocio de esos mismos ladrones de correo contra los que estaba destinado a proteger?
El robo de correo ya no requiere una palanca
Mel Carriere Galerías
¿Pequeño margen de compromiso potencial?
El brote actual de abuso de correo en espera no es el primer caso en el que delincuentes cautelosos han subvertido un proceso postal con fines nefastos. La automatización del correo de los EE. UU. Ha automatizado el robo de productos postales al mismo tiempo, con cada nueva aplicación de teléfono y función de sitio web para salir de la línea. El reenvío de correo es uno de esos ejemplos evidentes. En mi propia experiencia como cartero, he tenido varios casos de clientes que se quejan de que su correo se reenvía a alguien que no conocen, sin su permiso. Por supuesto, el servicio postal envía una carta de verificación para confirmar el reenvío, pero la mayoría de las veces se desechan como basura de origen desconocido. Por lo general, cuando el cliente victimizado se da cuenta de que su correo no se ha presentado, ya le faltan varios elementos confidenciales.
Cada año se presentan 37 millones de solicitudes de cambio de dirección. La portavoz postal Karen Mazurkiewicz, inundada por quejas sobre reenvíos fraudulentos, se refirió a este vasto depósito de datos al afirmar que el delito constituye un pequeño margen de compromiso potencial . Sin embargo, el hecho de que ya me haya encontrado con él en algunas ocasiones indica que el problema es más común de lo que los portavoces del Servicio Postal están dispuestos a admitir.
Otro caldo de cultivo fértil para el fraude es Informed Delivery, un proceso implementado hace unos años para permitir que los clientes postales vean con anticipación qué correo llegará ese día, a través de un correo electrónico que muestra imágenes de cartas y paquetes. Parece una función ingeniosa y útil que le permite a uno correr a casa y recuperar el cheque de estímulo antes de que los malos te den una paliza, pero también tiene una desventaja imprevista.
Una alerta difundida por el Servicio Secreto advirtió de cómo los ladrones se aprovechan de Entrega informada para obtener ganancias ilícitas. " … La alerta interna, enviada por el Servicio Secreto el 6 de noviembre a sus socios encargados de hacer cumplir la ley en todo el país, hace referencia a un caso reciente en Michigan en el que siete personas fueron arrestadas por presuntamente robar tarjetas de crédito de los buzones de correo de los residentes después de registrarse como esas víctimas. en el sitio web de USPS. "Al inscribirse en Informed Delivery en direcciones que no reciben el servicio, estos hábiles delincuentes pudieron eliminar las conjeturas y el juego de pies de golpear todos los buzones de correo de la cuadra. En cambio, pudieron señalar su enfoque en las residencias que se ven en la aplicación para recibir tarjetas de crédito u otros instrumentos financieramente sensibles. Al hacerlo, estos delincuentes lograron acumular 400.000 dólares en cargos fraudulentos en las cuentas de sus víctimas.
¿Moraleja de la historia? - Ojos curiosos te miran. Si aún no tiene Informed Delivery, consígalo antes de que lo hagan los ladrones, para que su juerga de compras no tenga lugar en su buzón. Lo tengo exactamente para ese propósito, no tanto para poder leer el mensaje generado a diario, sino para evitar que ojos depredadores no deseados se asomen dentro de mi recipiente de correo.
¿Qué hay en tu buzón? Puede que no lo sepas, pero si no tienes Informed Delivery, existe la posibilidad de que los ladrones de correo sí.
Ley de sistemas de información postal: por cada acción positiva, una reacción criminal igual y opuesta
Entonces vemos que por cada acción del Servicio Postal para implementar una herramienta en línea útil para sus clientes, hay una reacción igual y opuesta en el hampa del ilícito para explotar sus debilidades. Y esto nos lleva a la retención del correo postal como una fuente de fraude potencial. ¿Su capacidad para llenar convenientemente su solicitud de vacaciones desde su casa o su teléfono en realidad está haciendo lo contrario de su propósito previsto, al permitir que los delincuentes ladrones roben su correo retenido por error?
La evidencia anecdótica que he acumulado como cartero de USPS me hace adivinar que sí. Solo en las últimas dos semanas me he encontrado con dos retenciones de correo falso. En ambos casos, después de una semana más o menos de detener la entrega, los residentes acudieron a Correos para quejarse.
Uno de estos casos involucró a un miembro de la familia que intenta interrumpir su propia correspondencia, quizás sin saber que una retención de vacaciones detiene el correo de toda la familia, no solo de un individuo. Sin embargo, la segunda retención de correo fue generada por una persona que el propietario no conocía. Este individuo misterioso, que el cliente especuló que podría haber sido amigo de su compañero de cuarto, incluso ordenó varios paquetes. No sé cuál resultó ser la identidad definitiva del poseedor del correo misterioso, pero ambos casos me hicieron especular sobre la facilidad con la que las retenciones de correo se pueden usar con fines ilícitos.
El primer caso demuestra que un pariente vengativo podría usar fácilmente una reserva de correo como arma en una disputa familiar en curso. Un hijo o una hija descontentos puede estar buscando vengarse de mamá, papá o abuela reteniendo su correo o incluso robando sus cheques. Ciertamente sería posible que una persona con el mismo apellido que el beneficiario de un cheque hiciera esto, particularmente si fuera un junior y el nombre y el apellido coincidieran. No estoy diciendo que esto sea lo que sucedió aquí, probablemente fue solo un malentendido honesto del proceso de retención de correo, pero no me digas que otras personas en otros lugares no lo han intentado.
La segunda aparición es más un enigma. ¿Por qué un amigo legítimo de un compañero de habitación tendría que poner en espera para recibir correo en su casa? ¿No podría simplemente decir " oye, amigo, te importa si me envían un paquete a tu casa" y luego pasar a recogerlo más tarde? Esta es una práctica bastante común: las personas no quieren que sus esposos o esposas vean las sorpresas de su cumpleaños, por lo que lo envían a otra parte. Pero no es necesario que detenga el correo de su amigo para hacer eso, lo que me lleva a creer que algo extraño estaba sucediendo. El hecho de que el residente no conociera al titular del correo me hace concluir que alguien que necesitaba una dirección física secuestró el correo de esta casa durante unos días, y luego tal vez esperó demasiado para recogerlo en la oficina de correos.
Cualquiera que sea el caso, el incidente ejemplifica la multitud de formas en que una retención de correo se puede usar para cometer un delito. No creas que tus tramposos profesionales y aficionados no han pensado en ellos ni han intentado utilizarlos. Aunque los miembros de la familia con dedos pegajosos y quizás las personas sin hogar ciertamente han tratado de abusar de la retención del correo, existe una alta probabilidad de que el robo de identidad sea la razón principal de la explotación de la herramienta.
El 24 de junio de 2020, de hecho, el Servicio de Inspección Postal en Tom's River, Nueva Jersey, informó una investigación sobre retenciones de correo fraudulentas, donde se utilizaron datos personales robados para solicitar tarjetas de crédito. Este episodio tan reciente confirma la existencia y gravedad del problema, y sugiere que puede ser la nueva tendencia entre los ladrones de identidad. ¿Podría ser que los merodeadores de buzones, disuadidos por la creciente dificultad de hacer que se les reenvíe el correo de una víctima, estén recurriendo a lagunas en la bodega del correo como una solución alternativa?
Mientras las familias paseaban pacíficamente por el paseo marítimo de Tom's River, se robaban datos personales de sus buzones de correo.
Por Bakergrp - Trabajo propio, dominio público,
Un experimento de retención de correo
Resulta que el o strich cabeza en la arena enfoque de la seguridad cibernética no funcionaba tan bien para el Servicio Postal. Su pequeño margen de mantra potencial no tranquilizaba realmente a los clientes asustados por el espectro del robo de identidad. En respuesta, la organización finalmente se derrumbó e implementó medidas diseñadas para evitar el secuestro. Eric Zorn, escribiendo en el Chicago Tribune, dice que en octubre de 2019 el USPS comenzó a " … exigir a los clientes que creen cuentas verificadas con nombres de usuario, contraseñas y preguntas de seguridad personalizadas antes de que puedan solicitar reservas de vacaciones".
¿Son eficaces las nuevas medidas de seguridad? A riesgo de ponerme en un período de prueba permanente de retención de correo, decidí ir a USPS.com e intentar detener mi propio correo con una identidad diferente. Usé mi seudónimo, no el real, y un número de teléfono que no me pertenecía. Me angustia informar que lo logré, a pesar de las nuevas medidas de seguridad. Además, el proceso fue vergonzosamente fácil.
Realmente esperaba estar equivocado. Realmente esperaba que el Servicio Postal hubiera clavado esto, cerró la puerta digitalmente, empapó al enemigo en las puertas con aceite hirviendo. Pero, por desgracia, no es así.
Ahora, no llame a la policía ni a los inspectores postales. La suspensión de vacaciones se colocó en mi propio correo, para mi propia dirección. Técnicamente, no creo que te puedan arrestar por robar tus propias cosas. Tal vez me equivoque en eso, pero el Servicio Postal está más que equivocado si creen que han evitado el fraude de retención de correo con estos esfuerzos de seguridad de la liga de Bush.
Para evitar una posible explotación del sistema de retención de correo, el USPS ahora requiere la creación de una cuenta, pero pude crear una nueva cuenta con facilidad, en mi propia dirección.
Captura de pantalla del teléfono de Mel Carriere
¿Código de confirmación? ¿Podemos al menos exigir un código de confirmación?
Por supuesto, ya tenía una cuenta de USPS.com, así que tenía que conseguir una nueva. Al no permitirme crear una cuenta duplicada para mi dirección, podría haber sido cortado de raíz temprano, pero superé este primer obstáculo sin siquiera rozar mi dedo del pie contra la parte superior.
A partir de ahí, avancé rápida, fácilmente y sin vergüenza por los pasos, sintiéndome como un cerebro criminal. Luego llegué al lugar que pensé que sería un obstáculo infranqueable, un foso de castillo lleno de caimanes hambrientos y morder. Aquí iba a detenerme en seco, recibir el viejo empujón, golpeado en seco.
El programa me pedía que ingresara mi número de teléfono. Me detuve un momento para considerarlo, antes de pensar que usar mi propio número interferiría con la validez del experimento. ¿Qué pasa si el programa reconoce su número de teléfono de su otra cuenta y le permite deslizarse sobre esa base? Pensé en preguntarle a un amigo si podía tomar prestado su número para el experimento y luego me detuve, pensando que él podría enloquecer, creyendo que yo estaba involucrado en algún malvado anillo de robo de identidad, lo cual estaba sucediendo. Así que llamé a mi hijo mayor.
El suyo es el único número de teléfono del plan familiar que no tiene el mismo prefijo. También es el único que al menos finge estar interesado en las cosas sobre las que estoy escribiendo. Aún así, me sorprendió bastante que contestara el teléfono, que en sí mismo es una anomalía que merece ser investigada. " Oye, estoy escribiendo un artículo sobre el fraude de retención de correo", le dije, "y voy a usar tu número de teléfono para configurar una cuenta falsa. Probablemente obtendrás un código de confirmación. ¿Puedes por favor texto que a mí? "
A juzgar por su actitud permisiva, creo que podría haberle dicho que le iba a arrancar las uñas de los pies con unas pinzas, como experimento. " Sí, claro, adelante ", dijo.
La razón por la que esperaba que la aplicación enviara un código de confirmación, Captain Obvious, es que todas las personas de 6 años en adelante saben que esto es lo que sucede a lo largo y ancho de Internet, cada vez que un usuario intenta acceder a una aplicación en una nueva dispositivo o cambiar una contraseña. Microsoft, Google, Facebook, todos los grandes y respetables gigantes lo hacen.
Pero no el Servicio Postal. Simplemente ingresando el número de mi hijo, lo logré. No puedo adivinar por qué el proceso incluso requería un número de teléfono si no se iba a utilizar para fines de verificación de seguridad. Era como si el equipo de desarrollo de software de Postal estuviera diciendo " Hola, los otros chicos usan un número de teléfono y suena bien, hagámoslo también , sin considerar la razón detrás de la mudanza". En realidad, era como si un grupo de simios estuvieran sentados alrededor de una pantalla oscura para imitar el comportamiento humano de mirar televisión, sin que ninguno de ellos pensara en encender el botón de encendido.
Pasé todos los obstáculos como Edwin Moses ganando el oro olímpico, y pude pasar
Captura de pantalla del teléfono de Mel Carriere
Algunas soluciones de My Tiny Postal Pinhead
Pero estaba dentro. Lo había hecho. Había logrado saltar con pértiga el tan cacareada y pequeña margen de potencial. Todo lo que quedaba era configurar mi correo en espera, lo que hice para el fin de semana del 4 de julio. Entonces, a menos que los inspectores postales derriben mi puerta pronto, o le den una palmada a mi hijo por usar su número de teléfono con fines maliciosos, supongo que mi experimento fue un éxito. O un fracaso, según se mire.
Ahora necesito descartar la pregunta de qué puede hacer usted, como cliente postal vulnerable, para evitar ser salpicado por esta fruta fértil, que estalla en la vid para la selección de identidad. La respuesta es nada. Está completamente fuera de sus manos y completamente a merced de las personas que controlan el programa. Por otra parte, tal vez sea más inteligente que yo, tal vez ya haya pensado en una forma de proteger su correo para que no sea secuestrado. Si es así, compártelo con nosotros, porque estoy completamente estupefacto, realmente desconcertado, por lo fácil que fue para mí configurar una cuenta falsa "verificada". Si un ciudadano modelo como yo pudiera hacerlo, estoy seguro de que un ladrón aleatorio experimentado podría hacerlo mejor.
Parece que nosotros , el público en riesgo, nos sentamos aquí indefensos y expuestos, como un conejo atado a una cuerda en una cueva de lobos. Pero hay algunas cosas fáciles que el Servicio Postal podría hacer para disminuir el pequeño margen de potencial de fraude de retención de correo. No soy un genio cibernético, diablos, apenas entiendo las abreviaturas apropiadas de los mensajes de texto, pero se me ocurrieron algunos métodos casi al instante. Así que estoy sentado aquí, todo SMH , preguntándome por qué los gurús del desarrollo de software en la sede postal no pensaron en ellos.
En primer lugar, los clientes pueden configurar sus cuentas para excluirse de las retenciones de correo. Esto también se puede hacer para Entrega informada y cambios de dirección. Quizás optar por no participar debería ser el estado predeterminado, por lo que uno tiene que desmarcar la casilla "optar por no participar" antes de solicitar cualquiera de estas cosas. Como una capa adicional de seguridad, cambiar la "exclusión voluntaria" debe exigir un código de verificación, a través del número de teléfono o correo electrónico que figura en la cuenta. Sin código, sin retención, sin excepciones. Además, la aplicación debería tener que reconocer un dispositivo. Si un cliente configura la cuenta por teléfono pero quiere hacer la retención desde una computadora portátil, debe volver a realizar el procedimiento del código de verificación. Dolor en el trasero, pero clava algunos agujeros en las defensas contra robo de identidad.
Por supuesto, el éxito de estas correcciones depende de permitir solo una cuenta postal por cliente. Esto en sí mismo eliminaría muchas de las vulnerabilidades, aunque no todas. No podría haber creado mi cuenta falsa si este procedimiento hubiera estado en su lugar, y habría excluido a la mayor parte de su nivel de entrada, ligas menores, que no está del todo listo para los ladrones en horario estelar. ¿Alguien quiere hacer un reenvío individual desde una residencia en una cuenta que no está registrada para ellos? Tough titty dijo el gatito . O pueden hacer que el titular de la cuenta lo haga, o hacer cola en el PO con la licencia de conducir y algún tipo de prueba de residencia en sus manos inquietas.
Si mi diminuta cabeza de alfiler postal pudiera pensar en soluciones al problema del fraude de retención de correo, estoy seguro de que los gigantes de la programación en 1 L'Enfant Plaza podrían hacerlo mucho mejor.
Fuente: Por Tim1965 (Trabajo propio), "classes":}, {"tamaños":, "classes":}] "data-ad-group =" in_content-11 ">