Kasım ayında bir zaman, birisi bir ABD postanesine girdi ve her yıl on milyonlarca kişinin postalarını yeni bir adrese yönlendirmek için yaptığı gibi, bir adres değişikliği formu doldurdu. Kişi formu imzaladı, teslim etti ve çıktı. Formu imzalayan kişi, yöneticinin ev adresini sadece birkaç dakika içinde etkili bir şekilde ele geçirdiğinden, bu, birkaç eyalet ötedeki eski bir Microsoft yöneticisinin hayatını alt üst eden bir domino etkisini harekete geçirmek için yeterliydi.
Dolandırıcılık, ABD Posta Hizmetlerinin adres değişikliklerini işleme biçimindeki basit bir kusura dayanıyor. Ne yeni ne de özellikle karmaşık bir tekniktir ve dolandırıcılar ve federal müfettişler tarafından uzun süredir bilinmektedir. Sahtekarlıkla dosyalanmış bir adres değişikliği formu, her yıl postaları çalınan ve yeniden yönlendirilen binlerce kişi için kalıcı sonuçlar doğurabilir; suçlular, banka hesaplarına baskın yapmak veya dolandırıcılık yapmak için kullanılabilecek faturaları, kredi kartlarını ve diğer hassas bilgileri elde edebilir. satın almalar
Daha da şaşırtıcı olan, eşit derecede basit bir düzeltmenin varmış gibi görünmesi. Ancak USPS bir sorun olduğunu kabul etse de, dolandırıcıların başka birinin kimliğinden para kazanmasına izin veren boşluğu nasıl kapatmayı planladığını söylemiyor.
İsmini vermek istemeyen ancak hikayesini TechCrunch’a anlatmayı kabul eden eski Microsoft yöneticisi, siber güvenlik ve gizlilik tehditleri konusunda saf değil. Ancak eski yönetici, kendi itirafına göre, birisinin rızası olmadan kötü niyetli bir şekilde adresini değiştirmesinin, suçluların hesaplarına baskın yapması veya potansiyel olarak binlerce doları dolandırıcılık yoluyla satın alması için kapıları açması bir yana, bu kadar kolay olduğunu bilmediğini söyledi. . Tüm bunların, ikinci bir düşünce olmadan postaneye geri verilen basit bir kağıt formdan kaynaklandığını söylüyor.
USPS, 2021’de yaklaşık 36 milyon adres değişikliğini işleme koydu. Bir adresi değiştirmenin iki yolu vardır. Çoğu kişi eski ve yeni adreslerini vererek formu çevrimiçi olarak doldurur ve ardından hızın rahatlığı için 1,10 ABD doları öder. Diğer yol – hala önemli bir azınlık tarafından kullanılıyor – kağıt formunu yerel bir USPS postanesinde doldurmaktır.
Ne çevrimiçi ne de kağıt form, kişinin kimliğini kanıtlamasını gerektirmez. Çevrimiçi form, en azından, küçük bir ödeme gerektirir, bu hiçbir şekilde bir kişinin kimliğinin doğrulanması değildir, ancak nihayetinde birileri tarafından izlenebilir hale getiren dijital bir kağıt izi bırakır. Ancak USPS, neredeyse tamamen, her kim olursa olsun, kağıt formu imzalayan kişiye güvenen sisteme dayanır.
Bu formu doldurduktan sonra, USPS’nin adres değişikliği talebini gönderen kişinin kimliğini kontrol edeceğinin garantisi yoktur. Görsel Kaynakları: TechCrunch
Kağıt form resmi olarak PS Form 3575 olarak bilinir. Devlet evrak işleri ne kadar bürokratik olsa da, bu form hem canlandırıcı derecede basit hem de dikkat çekici derecede sıkıcıdır. Kartpostal boyutundaki formu bir USPS postanesinden talep etmelisiniz, bizim yaptığımız – gazetecilik için! Kişi daha sonra adını, eski adresini, yeni adresini ve postalarını ne kadar süreyle yeniden yönlendirmek istediğini girerek doldurur.
Son şey, formu imzalamak ve bir posta görevlisine veya mektup posta yuvasına bırakın postanenin içinde. Ancak, arka taraftaki formu yanlış bilgilerle doldurmanın (yakalanırsa) cezai suçlamalara yol açabileceğine dair bir uyarının yanı sıra, USPS’nin kağıt üzerinde adres değişikliği formu gönderen kişinin kimliğini kontrol edeceğine dair hiçbir garanti yoktur. Bu, dolandırıcıların ev adreslerini ele geçirmek, kredi kartlarını çalmak ve banka hesaplarını kasıp kavurmak için kullandıkları basit kusurdur.
Bir form teslim edildikten ve işlendikten sonra USPS, biri eski adrese, diğeri yeni adrese olmak üzere iki mektup göndererek ikamet edene adres değişikliğinin yapıldığını bildirir. Ancak bu mektuplar kolayca gözden kaçabilir ve kaçırılır ve mektupların kendileri, yalnızca kişi yetkisiz bir adres değişikliği talebini “görüntülemek veya iptal etmek” isterse müşterinin ilgisini veya etkileşimini gerektirmez.
Bu kusur sadece yeni değil, aynı zamanda geniş çapta belgelenmiş. 2017’deki özellikle komik bir olayda, Atlanta’da ikamet eden bir kişi, nakliye devi UPS’in şirket merkezinden yönlendirdiği çekleri bozdurduğu için tutuklandı ve bu da bahtsız dolandırıcının dairesinin önünde gerçek anlamda posta küvetlerinin birikmesine neden oldu. Yine de, UPS’in postasının görünmediğini fark etmesi yaklaşık üç ay sürdü.
Eski yöneticinin bankalarından birinden TechCrunch ile paylaştığı bir mektup, hesabını doğruluyor ve bankanın sistemlerinde adres değişikliğini “Birleşik Devletler Posta Servisi’nden (USPS) alınan ve bir adres değişikliği olmuştur.” USPS, eski yöneticinin adına yapılan hileli adres değişikliğini kabul ettiği için, USPS, dolandırıcıların belirlediği yeni adresi bankaları da dahil olmak üzere sayısız başka şirkete iletti. USPS uzun süredir satılan adres verisi değişikliğine sahiptir veri simsarlarınafinansal kurumlar gibi, bu bilgileri satın almak isteyen herkese yeniden satan.
Şans eseri, dolandırıcılığı suçlular geri dönüşü olmayan bir zarar vermeden yakaladı, yine de hesaplarını ve ev adresini sırayla iade etmesi haftalar sürdü. Ancak adres değişikliği dolandırıcılığı hala etkiliyor her yıl binlerce insan hayatlarını normale döndürmek için eski bir teknoloji yöneticisinin nüfuzuna sahip olmayanlar.
Devam eden bir sorun olmaya devam ettiği düşünüldüğünde, ABD posta hizmetinin bu tür adres değişikliği dolandırıcılığını nasıl azalttığını anlamak. TechCrunch, USPS’den yorum istedi.
USPS sözcüsü Sue Brennan ve Tatiana Roy yorum yapmayı reddettiler ve e-postamızı ABD Posta Teftiş Servisi’ne veya USPS’nin yasa uygulama kolu olan USPIS’e yönlendirdiler. ABD posta servisi, adres değişikliği sahtekarlığını önlemeyi planladı. USPIS, yanıtını genel, adsız bir e-posta adresinden gönderdi ve muhabirlerin sorması için standart bir uygulama olmasına rağmen, TechCrunch tarafından sorulduğunda bir sözcünün adını vermeyi defalarca reddetti. E-posta ile ulaşıldığında, USPIS’den Ariana Ramirez de bölümün medya sözcüsünün adını vermeyi reddetti.
USPIS standart açıklamasında, “bu durumlar ortaya çıktıkça USPS, güvenlik endişelerini gidermek için iç kontrollerini yeniden değerlendiriyor” dedi, varsa bu iç kontrollerin ne olduğunu veya herhangi bir değişiklik yapıp yapmadıklarını söylemeden. Tekrar sorduk ama cevap alamadık.
Sakinlerin gelen USPS postalarını ve paketlerini önizlemelerine olanak tanıyan çevrimiçi hizmete atıfta bulunan açıklamada, “Müşterilerin, posta kutularından günlük olarak veya çevrimiçi Bilgilendirilmiş Teslimat aracılığıyla postalarının alındığını izlemeleri teşvik edilir.” Ancak, posta kutunuzu düzenli olarak kontrol etmek, eksik postaları çok geç olmadan fark etmenize yardımcı olsa da, bu kesinlikle kusursuz değildir. Bu yüzden dolandırıcılar hala bunu yapıyor.
Ne USPS ne de USPIS, bariz bir çözüm gibi görünen bir şeyden bahsetmedi. Çevrimiçi form dolandırıcılık olasılığını azaltmak için küçük bir ödeme gerektiriyorsa, formu şahsen teslim ederken neden kişinin kimlik kanıtını kontrol etmiyorsunuz?
Bu yeni bir fikir değil. Posta hizmetini denetleyen bağımsız bekçi, USPS Genel Müfettiş Ofisi (veya USPS OIG), yıllardır adres değişikliği dolandırıcılığıyla ilgili endişelerini dile getirdi. USPS OIG dedi ki 2018 denetim raporu, yasa koyucuların, haber kuruluşlarının ve müşteri şikayetlerinin, posta hizmetinin müşterilerin bir kağıt değişikliği gönderirken gözden geçirilmek üzere pasaport veya sürücü belgesi gibi resmi bir kimlik belgesi sunmalarını gerektirmediğine dair endişelerine dayanarak başlattığı adres formu. Gözlemci, birçok denizaşırı posta hizmetlerinin, özellikle Avustralya, Kanada ve Birleşik Krallık’ın, adres değişikliği formunu manuel olarak gönderirken bir tür kimlik kontrolü gerektirdiğini, ancak sahip olmayanlar için bir dizi belgeyi de kabul ettiklerini kaydetti. devlet tarafından verilen bir kimlik formu.
USPS OIG bulgularında açıktı. “Böyle bir kimlik gerekliliği kontrolünü destekleyecek ulusal bir politikanın olmaması, ek dolandırıcılık faaliyetlerini sürdürebilir ve Posta Hizmetinin güvenilir bir sağlayıcı olarak markasına zarar verebilir.”
Denetimin ardından USPS, Mart 2019’un sonuna kadar kağıt adres değişikliği formları için devlet tarafından verilen kimlik kontrollerini uygulamayı planladığını söyledi.
USPS OIG sözcüsü Bill Triplett, TechCrunch’a USPS’nin genel müfettişin 2018 denetim raporundaki bulgularıyla hemfikir olduğunu ve konunun çözüldüğünü belirten tavsiyelerin Ağustos 2019’da kapatıldığını söyledi. Sözcü, USPS’nin “satış ortaklarının adres değişikliği isteklerini şahsen işlemek için kimlik doğrulaması gerektiğini gösteren belgeler sağladığını” söyledi.
USPS’nin bu politikayı uygulayıp uygulamadığı sorulduğunda: “Politikalarını nasıl uyguladıkları konusunda en güncel bilgilere Posta Servisi sahip olacaktır. Tipik olarak, Posta Servisi tarafından sağlanan destekleyici belgelere dayalı bir öneriyi sonlandırdığımızda, uygulamaya devam edip etmediklerini kontrol etmek için takip çalışmasını tamamlamayız” dedi.
USPS OIG, “gelecekte bu konuyu denetlemeyi düşüneceğini” söyledi.
Sessiz kısmı yüksek sesle söylemek gerekirse, USPS, birisi kağıt üzerinde bir adres değişikliği formu doldurduğunda, kimlik kontrollerine ilişkin kendi politikasını yeterince uygulamıyor. USPS, bu tür dolandırıcılığı azaltmaya çalıştığı herhangi bir çabayı henüz yorumlamadı veya tanımlamadı.
Bu sadece şanssızlığa düşen ve çatlaklardan düşen eski bir Microsoft yöneticisinin durumu değil. Seattle merkezli KIRO 7 Haberleri bu hikayeyi sadece altı ay önce ele aldı ve aynı sonuçlara ulaştı. USPS, bu sorunla iki ayrı durumda karşılaşan yerel bir aile hakkında haber yaptıktan sonra, kimlik hırsızlığının adres değişikliği dolandırıcılığı yoluyla “gerçekleşemeyeceğini” iddia ederek ailenin çektiği çileyi görmezden geldi.
KIRO 7 News, doğrudan sistemdeki kusura işaret ederek, “Ancak bu, gişede kimlik istemeyen birini hesaba katmaz,” diye yazdı.
Bir kimlik kontrolünün, büyük bir bilgi veri tabanına veya gelecek on yıllar boyunca bir kayıt defteri tutmaya dayanması gerekmez. Tıpkı diğer ülkelerde posta sistemlerinin yaptığı gibi, bir kişinin bir posta görevlisine kimlik kanıtını veya formu teslim ettiği gibi benzer belgeleri göstermesinden fazlasını gerektirmemelidir. Adlarını kontrol edin ve başka bir şey yok. Ve hiçbir sistem mükemmel olmasa da, bir kişinin kimliğine veya belgelerine kısa bir bakış, kişinin izni olmadan adresini değiştirmeyi önemli ölçüde zorlaştırır.
Aksi takdirde, belirli bir düzeyde sürekli teyakkuz olmadan bu tür bir dolandırıcılığı önlemek için kimsenin yapabileceği çok az şey vardır. Ancak bir noktada, USPS dört yıl önce çözdüğü iddia edilen çözümü uygulayabildiğinde, bu tüketicinin sorumluluğunda olmamalı.
Eski yönetici bana “Seçimler için, mali konular için herkes Postaneye güveniyor” dedi. Yine de, basit ama yıkıcı bir kusur ve aynı derecede basit bir düzeltme için, USPS’nin neden “hiçbir şey yapmadığını” anlayamadığını söyledi.
Signal ve WhatsApp üzerinden +1 646-755-8849 numaralı telefondan veya e-posta yoluyla güvenlik masasıyla iletişime geçin. Ayrıca SecureDrop aracılığıyla bize hikayeler verebilir veya belgeleri güvenli bir şekilde paylaşabilirsiniz.