11 月的某个时候,有人走进美国邮局并填写了地址变更表,就像每年有数千万人将他们的邮件路由到新地址一样。那人在表格上签了字,递上去,然后走了出去。这足以引发多米诺骨牌效应,颠覆几个州外一位前微软高管的生活,因为签署表格的人在短短几分钟内有效地劫持了这位高管的家庭住址。
该欺诈行为依赖于美国邮政服务处理地址变更方式的一个简单缺陷。它既不是新的也不是特别复杂的技术,并且早已为欺诈者和联邦调查人员所知。以欺诈方式提交的地址变更表可能会对每年数以千计的邮件被劫持和重新路由的个人产生持久的影响,犯罪分子能够获得账单、信用卡和其他可用于突袭银行账户或进行欺诈的敏感信息购买。
更令人费解的是,似乎有一个同样简单的修复方法。但是,虽然 USPS 承认存在问题,但它不会说明它计划如何关闭允许欺诈者利用他人身份获利的漏洞。
这位不愿透露姓名但同意向 TechCrunch 讲述他的故事的前微软高管对网络安全和隐私威胁并不天真。但他自己承认,这位前高管表示,他不知道有人未经他同意恶意更改他的地址会这么容易,更不用说为犯罪分子打开大门来突袭他的账户或可能累积数千美元的欺诈性购买.他说,所有这一切都是因为一张简单的纸质表格,可以毫不犹豫地交回邮局。
USPS 在 2021 年处理了大约 3600 万次地址更改。更改地址有两种方法。大多数人通过提供新旧地址在线填写表格,然后支付 1.10 美元以提高速度。另一种方式——仍然被少数人使用——是在当地的 USPS 邮局填写纸质表格。
在线或纸质表格都不需要此人出示其身份证明。在线表格至少需要一笔小额付款,这绝不是对一个人身份的验证,但它会留下一个数字纸质痕迹,使它最终可以追溯到某人。但 USPS 几乎完全依赖系统信任签署纸质表格的人,无论他们是谁。
填写此表格后,不保证 USPS 会检查提交地址更改请求的人的身份。图片来源: TechCrunch
纸质表格的正式名称为 PS 表格 3575。与政府文书工作一样官僚主义,这种表格既简单又令人耳目一新,而且非常乏味。您必须在 USPS 邮局索取明信片大小的表格,我们就是这样做的——为了新闻!然后,此人用他们的姓名、旧地址、新地址以及他们想要重新路由邮件的时间来填写它。
最后一件事是在表格上签名,然后将其交还给邮政工作人员或将其投入邮局内的信箱。但是,除了背面警告填写虚假信息可能会导致刑事指控(如果被抓到)的通知外,USPS 无法保证会检查提交纸质地址变更表的人的身份。欺诈者利用这个简单的缺陷来劫持家庭地址、窃取他们的信用卡并破坏他们的银行账户。
提交并处理表格后,USPS 会发出两封信,一封寄往旧地址,另一封寄往新地址,通知居民地址变更已经完成。但是这些信件很容易被遗漏,而且这些信件本身不需要客户注意或互动,只有当客户想要“查看或取消”未经授权的地址更改请求时。
这个缺陷不仅不是新缺陷,而且被广泛记录。在 2017 年的一个特别滑稽的案例中,一名亚特兰大居民因兑现他从航运巨头 UPS 公司总部转寄的支票而被捕,导致倒霉的欺诈者公寓外堆积如山的邮件。然而,UPS 仍然花了将近三个月的时间才注意到它的邮件没有出现。
他与 TechCrunch 分享了一封来自前高管的一家银行的信,证实了他的说法,并确认该银行在其系统中更改了地址“由于从美国邮政服务 (USPS) 收到的数据表明地址发生了变化。”由于 USPS 接受了以这位前高管名义进行的欺诈性地址更改,USPS 将欺诈者设置的新地址传递给了无数其他公司,包括他的银行。 USPS 长期以来一直将地址变更数据出售给数据经纪人,数据经纪人将此信息转售给任何想要购买它的人,例如金融机构。
对他来说幸运的是,他在犯罪分子造成不可挽回的损失之前发现了欺诈行为,但仍需要数周时间才能恢复他的账户——以及他的家庭住址——秩序井然。但是地址变更欺诈每年仍然影响着成千上万的人,他们没有前技术主管的影响力来让他们的生活恢复正常。
了解美国邮政服务如何减少这种地址变更欺诈,因为它仍然是一个持续存在的问题。 TechCrunch 要求 USPS 发表评论。
USPS 发言人 Sue Brennan 和 Tatiana Roy 拒绝置评,并将我们的电子邮件转给了美国邮政检查局 (USPS) 的执法部门,USPIS 向 TechCrunch 提供了样板声明——其中一些重复了——但没有说明如何美国邮政服务计划防止更改地址欺诈。 USPIS 从一个普通的未命名电子邮件地址发送了回复,并在 TechCrunch 询问时一再拒绝提供发言人姓名,尽管这是记者询问的标准做法。当通过电子邮件联系到 USPIS 的 Ariana Ramirez 时,他也拒绝提供该部门媒体发言人的姓名。
USPIS 在其样板声明中表示,“随着这些情况的出现,USPS 重新评估其内部控制以解决安全问题”,但没有说明这些内部控制是什么(如果有),也没有说明他们是否实施了任何更改。我们再次询问,但没有收到回复。
声明补充说:“鼓励客户通过每天从邮箱中检索邮件或通过在线 Informed Delivery 来监控邮件的接收情况,”声明补充说,指的是允许居民预览其入站 USPS 邮件和包裹的在线服务。但是,虽然定期检查您的邮箱有助于在为时已晚之前发现丢失的邮件,但这绝不是万无一失的。这就是为什么欺诈者仍在这样做的原因。
USPS 或 USPIS 均未提及看似显而易见的解决方案。如果在线表格需要小额付款以减少被欺诈的机会,为什么不在亲自递交表格时检查该人的身份证明?
这不是一个新颖的想法。监督邮政服务的独立监管机构 USPS 监察长办公室(或 USPS OIG)多年来一直对地址变更欺诈表示担忧。 USPS OIG 在其 2018 年审计报告中表示,该报告是基于立法者、新闻媒体和客户投诉的担忧而发起的,邮政服务不要求客户出示政府形式的身份证明,例如护照或驾照,提交纸质地址变更表时进行审核。监管机构指出,一些海外邮政服务,特别是澳大利亚、加拿大和英国,在手动提交地址变更表时都需要进行某种形式的身份检查,但他们也接受那些没有身份的人的一系列文件政府签发的身份证件。
USPS OIG 的调查结果很明确。 “缺乏支持这种 ID 要求控制的国家政策可能会使额外的欺诈活动长期存在,并损害邮政服务作为可信赖供应商的品牌。”
审计结束后,USPS 表示计划在 2019 年 3 月底之前对纸质地址变更表实施政府签发的身份检查。
USPS OIG 发言人 Bill Triplett 告诉 TechCrunch,USPS 同意监察长对其 2018 年审计报告的调查结果,建议于 2019 年 8 月关闭,表明此事已解决。该发言人表示,USPS“提供的文件证明销售人员需要身份证明才能亲自处理地址变更请求。”
当被问及 USPS 是否执行此政策时:“邮政服务将拥有有关他们如何执行其政策的最新信息。通常,一旦我们根据邮政服务提供的支持文件关闭建议,我们就不会完成后续工作来检查他们是否继续实施它,”发言人说。
USPS OIG 表示将“考虑在未来审计这个话题”。
坦率地说,当有人提交纸质地址变更表时,USPS 没有充分执行自己的身份检查政策。 USPS 尚未发表评论或指出其为减少此类欺诈所做的任何努力。
这不仅仅是一位倒霉并跌入裂缝的前微软高管的情况。总部位于西雅图的KIRO 7 News六个月前报道了这个故事并得出了相同的结论。在两次报告一个当地家庭遇到此问题后,USPS 驳回了这个家庭的苦难,声称通过更改地址欺诈“不可能发生”身份盗用。
KIRO 7 News 写道:“但这并不能说明有人没有在柜台索取身份证件,”他直接指出了系统中的缺陷。
身份检查不需要依赖于一些庞大的信息数据库或在未来几十年保存分类账。就像其他国家的邮政系统所做的那样,只需要一个人在递交表格时向邮政工作人员出示他们的身份证明或类似文件即可。检查他们的名字,仅此而已。虽然没有一个系统是完美的,但只要看一眼一个人的身份证或文件,就会大大增加未经他们许可更改某人地址的难度。
否则,如果没有一定程度的持续警惕,任何人都无法阻止这种欺诈行为。但在某种程度上,这不应该是消费者的责任,因为 USPS 可以强制执行据称四年前修复的解决方案。
“对于选举、财务问题,每个人都依赖邮局,”这位前高管告诉我。然而,对于一个简单但具有破坏性的缺陷和同样简单的修复,他说他无法理解为什么 USPS “什么都不做”。
通过 +1 646-755-8849 或电子邮件与 Signal 和 WhatsApp 上的安全台联系。您还可以通过SecureDrop向我们举报故事或安全地共享文档。
Zack Whittaker最初发表在TechCrunch上的USPS 无法修复的致命缺陷
原文: https://techcrunch.com/2023/03/01/us-postal-service-change-of-address-fraud/