Irgendwann im November, ging jemand in ein US-Postamt und füllte ein Adressänderungsformular aus, so wie es jedes Jahr zig Millionen tun, um ihre Post an eine neue Adresse weiterzuleiten. Die Person unterschrieb das Formular, gab es ab und ging hinaus. Das reichte aus, um einen Dominoeffekt auszulösen, der das Leben eines ehemaligen Microsoft-Managers mehrere Bundesstaaten entfernt auf den Kopf stellte, da die Person, die das Formular unterzeichnete, die Privatadresse des Managers in nur wenigen Minuten entführte.
Der Betrug beruht auf einem einfachen Fehler bei der Verarbeitung von Adressänderungen durch den US-Postdienst. Es ist weder neu noch eine besonders ausgeklügelte Technik und ist Betrügern und Bundesermittlern seit langem bekannt. Ein in betrügerischer Absicht eingereichtes Adressänderungsformular kann dauerhafte Folgen für Tausende von Personen haben, deren Post jedes Jahr entführt und umgeleitet wird, da Kriminelle in der Lage sind, Rechnungen, Kreditkarten und andere sensible Informationen zu erhalten, die verwendet werden können, um Bankkonten zu überfallen oder zu betrügen Einkäufe.
Noch verwirrender ist, dass es eine ebenso einfache Lösung zu geben scheint. Aber obwohl USPS einräumt, dass es ein Problem gibt, würde es nicht sagen, wie es plant, die Lücke zu schließen, die es Betrügern ermöglicht, die Identität einer anderen Person zu nutzen.
Der ehemalige Microsoft-Manager, der darum bat, nicht genannt zu werden, sich aber bereit erklärte, seine Geschichte Tech zu erzählen, ist nicht naiv gegenüber Cybersicherheits- und Datenschutzbedrohungen. Aber nach eigenen Angaben sagte der ehemalige Manager, er habe nicht gewusst, dass es für jemanden so einfach sei, seine Adresse ohne seine Zustimmung böswillig zu ändern, geschweige denn Kriminellen die Türen zu öffnen, um seine Konten zu plündern oder möglicherweise Tausende von Dollar an betrügerischen Einkäufen zu sammeln . All dies, sagt er, liegt an einem einfachen Papierformular, das ohne viel Nachdenken an die Post zurückgegeben wird.
USPS verarbeitete im Jahr 2021 rund 36 Millionen Adressänderungen. Es gibt zwei Möglichkeiten, eine Adresse zu ändern. Die meisten Leute füllen das Formular online aus, indem sie ihre alte und neue Adresse angeben, und zahlen dann 1,10 $ für die Bequemlichkeit der Geschwindigkeit. Der andere Weg – der immer noch von einer bedeutenden Minderheit von Menschen genutzt wird – besteht darin, das Papierformular bei einem örtlichen USPS-Postamt auszufüllen.
Weder beim Online- noch beim Papierformular muss die Person einen Identitätsnachweis vorlegen. Zumindest das Online-Formular erfordert eine kleine Zahlung, die keinesfalls eine Überprüfung der Identität einer Person darstellt, sondern eine digitale Papierspur hinterlässt, die es letztendlich jemandem zuordnen lässt. USPS verlässt sich jedoch fast ausschließlich darauf, dass das System der Person vertraut, die das Papierformular unterzeichnet, wer auch immer sie sein mag.
Das Papierformular ist offiziell als PS-Formular 3575 bekannt. So bürokratisch die Regierungsdokumente auch sein mögen, dieses Formular ist sowohl erfrischend einfach als auch bemerkenswert langweilig. Sie müssen das postkartengroße Formular bei einem USPS-Postamt anfordern, was wir getan haben – für den Journalismus! Die Person füllt es dann mit ihrem Namen, ihrer alten Adresse, ihrer neuen Adresse und wie lange sie ihre Post umleiten möchte.
Als letztes unterschreibst du das Formular und gibst es an einen Postangestellten oder zurück werfen Sie es in den Briefkasten ein innerhalb der Post. Aber abgesehen von einem Hinweis auf der Rückseite, der darauf hinweist, dass das Ausfüllen des Formulars mit falschen Informationen zu Strafanzeigen führen kann (wenn es erwischt wird), gibt es keine Garantie dafür, dass USPS die Identität der Person überprüft, die ein Adressänderungsformular in Papierform einreicht. Das ist der einfache Fehler, den Betrüger ausnutzen, um Privatadressen zu kapern, ihre Kreditkarten zu stehlen und ihre Bankkonten zu verwüsten.
Sobald ein Formular eingereicht und bearbeitet wurde, versendet USPS zwei Briefe, einen an die alte Adresse und einen an die neue Adresse, um den Bewohner darüber zu informieren, dass die Adressänderung durchgeführt wurde. Aber diese Briefe können und werden leicht übersehen, und die Briefe selbst erfordern keine Aufmerksamkeit oder Interaktion des Kunden, nur wenn die Person eine nicht autorisierte Adressänderungsanfrage „anzeigen oder stornieren“ möchte.
Dieser Fehler ist nicht nur nicht neu, er ist es umfangreich dokumentiert. In einem besonders komischen Fall aus dem Jahr 2017 wurde ein Einwohner von Atlanta festgenommen, weil er Schecks eingelöst hatte, die er von der Unternehmenszentrale des Versandriesen UPS umgeleitet hatte, was dazu führte, dass sich vor der Wohnung des glücklosen Betrügers buchstäbliche Badewannen mit Post türmten. Dennoch dauerte es fast drei Monate, bis UPS bemerkte, dass seine Post nicht auftauchte.
Ein Brief von einer der Banken des ehemaligen Geschäftsführers, den er Tech mitteilte, bestätigt seine Darstellung und bestätigt, dass die Bank die Adressänderung in ihren Systemen vorgenommen hat, „als Folge von Daten, die vom United States Postal Service (USPS) erhalten wurden und darauf hindeuten, dass ein Adressänderung stattgefunden hatte.“ Da USPS die betrügerische Adressänderung im Namen des ehemaligen Managers akzeptiert hatte, gab USPS die von den Betrügern festgelegte neue Adresse an unzählige andere Unternehmen weiter, einschließlich seiner Banken. USPS verkauft seit langem Adressänderungsdaten an Datenbrokerdie diese Informationen an alle weiterverkaufen, die sie kaufen möchten, z. B. Finanzinstitute.
Zu seinem Glück fing er den Betrug auf, bevor die Kriminellen irreversiblen Schaden anrichten konnten, aber es dauerte trotzdem Wochen, bis er seine Konten – und seine Privatadresse – wieder in Ordnung brachte. Aber der Adressänderungsbetrug wirkt sich immer noch aus Tausende von Menschen jedes Jahr die nicht die Schlagkraft eines ehemaligen Technologiemanagers haben, um ihr Leben wieder normal zu machen.
Um zu verstehen, wie der US-Postdienst diese Art von Adressänderungsbetrug reduziert hat, da es sich um ein anhaltendes Problem handelt. Tech bat USPS um einen Kommentar.
Die USPS-Sprecherinnen Sue Brennan und Tatiana Roy lehnten eine Stellungnahme ab und verwiesen unsere E-Mail an den US Postal Inspection Service oder USPIS, den Strafverfolgungsarm von USPS, der Tech eine Standarderklärung übermittelte – von denen sich einige wiederholten –, aber nicht sagte, wie Der US-Postdienst plante, Adressänderungsbetrug zu verhindern. USPIS schickte seine Antwort von einer allgemeinen unbenannten E-Mail-Adresse und lehnte es wiederholt ab, den Namen eines Sprechers anzugeben, wenn er von Tech gefragt wurde, obwohl es für Reporter üblich ist, danach zu fragen. Auch Ariana Ramirez von USPIS lehnte es per E-Mail ab, den Namen des Mediensprechers der Abteilung anzugeben.
In seiner Standarderklärung sagte USPIS, dass „USPS in solchen Situationen ihre internen Kontrollen neu bewertet, um Sicherheitsbedenken auszuräumen“, ohne zu sagen, was diese internen Kontrollen waren, falls vorhanden, oder ob sie Änderungen vorgenommen haben. Wir haben nochmal nachgefragt, aber keine Antwort bekommen.
„Kunden werden ermutigt, den Eingang ihrer Post zu überwachen, indem sie sie täglich aus ihrem Postfach oder über die informierte Zustellung online abrufen“, fügte die Erklärung hinzu und bezog sich auf den Onlinedienst, der es den Einwohnern ermöglicht, eine Vorschau ihrer eingehenden USPS-Post und -Pakete anzuzeigen. Aber obwohl die regelmäßige Überprüfung Ihres Postfachs helfen könnte, fehlende E-Mails zu erkennen, bevor es zu spät ist, ist dies keineswegs narrensicher. Deshalb machen es immer noch Betrüger.
Weder USPS noch USPIS erwähnten eine offensichtliche Lösung. Wenn das Online-Formular eine kleine Zahlung erfordert, um das Betrugsrisiko zu verringern, warum nicht den Identitätsnachweis der Person überprüfen, wenn Sie das Formular persönlich abgeben?
Es ist keine neuartige Idee. Die unabhängige Aufsichtsbehörde für den Postdienst, das USPS Office of Inspector General (oder USPS OIG), hat seit Jahren Bedenken wegen Adressänderungsbetrug geäußert. USPS OIG sagte in seinen Revisionsbericht 2018, die sie auf der Grundlage von Bedenken von Gesetzgebern, Nachrichtenagenturen und Kundenbeschwerden initiierte, dass der Postdienst von Kunden nicht verlangte, einen amtlichen Ausweis wie einen Reisepass oder einen Führerschein zur Überprüfung vorzulegen, wenn sie einen Papierwechsel einreichten Adressformular. Der Wachhund stellte fest, dass mehrere ausländische Postdienste, insbesondere Australien, Kanada und das Vereinigte Königreich, bei der manuellen Übermittlung eines Adressänderungsformulars alle eine Art Identitätsprüfung verlangen, aber auch eine Reihe von Dokumenten für diejenigen akzeptieren, die dies nicht tun ein von der Regierung ausgestelltes Ausweisdokument.
Das USPS OIG war in seinen Feststellungen eindeutig. „Das Fehlen einer nationalen Richtlinie zur Unterstützung einer solchen ID-Anforderungskontrolle kann zusätzliche betrügerische Aktivitäten aufrechterhalten und der Marke des Postdienstes als vertrauenswürdiger Anbieter schaden.“
Nach der Prüfung plante USPS, bis Ende März 2019 von der Regierung ausgestellte Identitätsprüfungen für Adressänderungsformulare in Papierform durchzuführen.
USPS OIG-Sprecher Bill Triplett sagte gegenüber Tech, dass USPS den Feststellungen des Generalinspektors seines Auditberichts von 2018 zustimmte und die Empfehlungen im August 2019 abgeschlossen wurden, was darauf hinweist, dass die Angelegenheit gelöst ist. Der Sprecher sagte, dass USPS „Dokumente zur Verfügung gestellt hat, aus denen hervorgeht, dass Vertriebsmitarbeiter eine Identifizierung benötigen, um Anträge auf Adressänderung persönlich zu bearbeiten“.
Auf die Frage, ob USPS diese Richtlinie durchsetzt: „Der Postdienst hätte die aktuellsten Informationen darüber, wie sie ihre Richtlinien durchsetzen. Sobald wir eine Empfehlung auf der Grundlage der vom Postdienst bereitgestellten Belege abgeschlossen haben, führen wir in der Regel keine Nachverfolgungsarbeiten durch, um zu prüfen, ob sie sie weiterhin umsetzen“, sagte der Sprecher.
USPS OIG sagte, es werde „in Erwägung ziehen, dieses Thema in Zukunft zu prüfen“.
Um den leisen Teil laut auszusprechen: USPS setzt seine eigene Richtlinie zu Identitätsprüfungen nicht angemessen durch, wenn jemand ein Adressänderungsformular in Papierform einreicht. USPS muss noch irgendwelche Bemühungen kommentieren oder identifizieren, bei denen es versucht, diese Art von Betrug zu reduzieren.
Dies ist nicht nur der Fall eines ehemaligen Microsoft-Managers, der Pech hatte und durch das Raster fiel. Sitz in Seattle KINO 7-Neuigkeiten berichtete diese Geschichte erst vor sechs Monaten und kam zu denselben Schlussfolgerungen. Nachdem USPS über eine ortsansässige Familie berichtet hatte, die bei zwei verschiedenen Gelegenheiten mit diesem Problem konfrontiert war, wies der USPS die Tortur der Familie mit der Behauptung zurück, dass Identitätsdiebstahl durch Adressänderungsbetrug „nicht passieren kann“.
„Aber das erklärt nicht, dass jemand am Schalter nicht nach dem Ausweis fragt“, schrieb KINO 7 News und wies direkt auf den Fehler im System hin.
Eine Identitätsprüfung muss sich nicht auf eine große Datenbank mit Informationen oder die Führung eines Hauptbuchs mit Aufzeichnungen für die kommenden Jahrzehnte stützen. Es sollte nicht mehr erfordern, als dass eine Person einem Postangestellten einfach ihren Identitätsnachweis oder ähnliche Dokumente vorzeigt, wenn sie das Formular einreichen, so wie es die Postsysteme in anderen Ländern tun. Überprüfen Sie ihren Namen, und nicht mehr. Und obwohl kein System jemals perfekt ist, würde ein kurzer Blick auf den Ausweis oder die Dokumente einer Person es erheblich erschweren, die Adresse einer Person ohne deren Erlaubnis zu ändern.
Ansonsten kann niemand ohne ein gewisses Maß an ständiger Wachsamkeit etwas tun, um diese Art von Betrug zu verhindern. Aber irgendwann sollte es nicht in der Verantwortung des Verbrauchers liegen, wenn der USPS die Lösung durchsetzen könnte, die er angeblich vor vier Jahren festgelegt hat.
„Bei Wahlen, in finanziellen Angelegenheiten verlassen sich alle auf die Post“, sagte mir der ehemalige Manager. Doch für einen einfachen, aber verheerenden Fehler mit einer ebenso einfachen Lösung sagte er, er könne nicht verstehen, warum der USPS „nichts unternimmt“.
Kontaktieren Sie den Sicherheitsschalter auf Signal und WhatsApp unter +1 646-755-8849 oder per E-Mail. Sie können uns auch Geschichten mitteilen oder Dokumente sicher über SecureDrop teilen.