Il y a un an, BreachTrace a averti que « Informed Delivery », une nouvelle offre du Service postal américain (USPS) qui permet aux résidents de voir des images numérisées de tous les courriers entrants, était susceptible d’être abusé par des voleurs d’identité et d’autres fraudeurs à moins que l’USPS ne renforce la sécurité autour du programme et ne facilite la désinscription. Cette semaine, le Services secrets américains a publié une alerte interne avertissant que bon nombre de ses bureaux extérieurs ont signalé que des escrocs utilisaient en effet Informed Delivery pour commettre divers stratagèmes d’usurpation d’identité et de fraude par carte de crédit.
Image : USPS
L’alerte interne – envoyée par les services secrets le 6 novembre à ses partenaires chargés de l’application de la loi dans tout le pays – fait référence à une affaire récente dans le Michigan dans laquelle sept personnes ont été arrêtées pour avoir prétendument volé des cartes de crédit dans des boîtes aux lettres résidentes après s’être inscrites en tant que victimes sur le site Web de l’USPS. placer.
Selon l’alerte des services secrets, les accusés ont utilisé la fonction de livraison informée « pour identifier et intercepter le courrier, et pour poursuivre leurs stratagèmes de fraude par vol d’identité ».
« Des fraudeurs ont également été observés sur des forums criminels discutant de l’utilisation du service de livraison informée pour surveiller les victimes potentielles de vol d’identité », lit-on dans la note des services secrets.
L’USPS n’a pas répondu aux demandes répétées de commentaires au cours des six derniers jours.
L’incident du Michigan dans l’alerte des services secrets fait référence à l’arrestation en septembre 2018 de sept personnes accusé d’avoir accumulé près de 400 000 $ en frais non autorisés sur des cartes de crédit qu’ils ont commandées au nom de résidents. Selon une copie de la plainte dans cette affaire (PDF), les accusés auraient volé les nouvelles cartes dans les boîtes aux lettres des résidents, puis les auraient utilisées pour acheter frauduleusement des cartes-cadeaux et des marchandises dans les grands magasins.
BreachTrace a pris l’USPS à partie l’année dernière pour ne pas avoir utilisé sa propre méthode de communication unique – le courrier américain – pour valider et informer les résidents lorsque quelqu’un à leur adresse s’inscrit à la livraison informée. L’USPS a corrigé cette lacune plus tôt cette année, annonçant qu’il avait commencé à alerter tous les ménages par courrier chaque fois que quelqu’un s’inscrivait pour recevoir des notifications numérisées de courrier livré à son adresse.
Cependant, il semble que les voleurs d’identité aient trouvé des moyens de détourner les identités et de commander de nouvelles cartes de crédit au nom des victimes avant que l’USPS ne puisse envoyer leur notification – éventuellement en attendant que les cartes soient déjà approuvées et commandées avant de s’inscrire à la livraison informée dans le nom de la victime.
Le mois dernier, WKMG Clickorlando.com a écrit qu’un certain nombre de résidents de Belle Isle, en Floride, ont déclaré avoir reçu de lourdes factures pour des cartes de crédit qu’ils ignoraient avoir. Une résidente aurait déclaré avoir reçu une facture de 2 000 $ de frais sur une carte qu’elle n’avait jamais vue auparavant, et ce n’est qu’après cela qu’elle a reçu un avis de l’USPS indiquant qu’une personne à son adresse s’était inscrite à Informed Delivery. Le seul problème était qu’elle ne s’était jamais inscrite au programme USPS.
« Selon un rapport de police, quelqu’un a ouvert des comptes de carte de crédit frauduleux et a facturé plus de 14 000 $ et a également inscrit ses voisins à Informed Delivery », a déclaré Clickorlando. Louis Bolden expliqué. « Les photos de ce qui serait dans leur courrier allaient à quelqu’un d’autre. »
Des résidents du Texas ont rapporté des expériences similaires. Dave Liberauteur de La colonne Watchdog pour Les nouvelles du matin de Dallasdit avoir entendu la victime Chris Torraca, 58 ans, régulateur bancaire fédéral à la retraite de Grapevine, une ville située entre Dallas et Ft. Valeur.
« Chris l’a découvert après que quelqu’un a créé un compte à son nom sur usps.com », a écrit Lieber dans un article publié le 2 novembre. « Le voleur a commencé à recevoir des photos du courrier de Chris et a également ouvert une carte de crédit bancaire au nom de la femme de Chris. . Les autorités postales présentent le programme comme un excellent moyen de prévenir le vol d’identité, mais pour Chris, c’est ce qui l’a mené.
Comme indiqué dans l’article de l’année dernière, la principale faiblesse d’Informed Delivery réside dans la méthode utilisée par l’USPS pour valider les nouveaux comptes. L’inscription nécessite un résident éligible pour créer un compte utilisateur gratuit sur USPS.com, qui demande le nom, l’adresse et une adresse e-mail du résident. La dernière étape de la validation des résidents consiste à répondre à quatre questions dites « d’authentification basée sur les connaissances » ou KBA.
BreachTrace a sans relâche attaqué KBA en tant que méthode d’authentification peu fiable, car de nombreuses réponses aux questions à devinettes multiples sont disponibles sur des sites tels que Spokéo et Zillowou via des profils de réseaux sociaux.
J’ai déjà indiqué qu’avoir un gel de sécurité sur votre dossier de crédit devrait être suffisant pour empêcher quelqu’un d’enregistrer un compte de livraison informée en votre nom. C’est parce que l’USPS valide les nouveaux utilisateurs en leur posant une série de questions à devinettes multiples choisies par les trois grands bureaux de crédit Équifax.
Mais de nombreux lecteurs ont répondu qu’ils étaient toujours en mesure de s’inscrire au service même s’ils avaient mis en place des gels de sécurité avec Equifax et les deux autres principaux bureaux de crédit à la consommation (Experian et TransUnion).
Normalement, dans ces cas, j’exhorte les lecteurs à simplement planter leur drapeau en enregistrant un compte pour réclamer leur adresse. Cependant, l’USPS autorise la création de nouveaux comptes pour toute personne actuellement en mesure de recevoir du courrier à votre adresse, ce qui signifie que la revendication de votre adresse peut impliquer l’enregistrement d’un compte avec chaque adulte présent à votre adresse.
Les nouvelles du matin de Dallas l’article mentionné précédemment indique que les Américains peuvent désactiver la livraison informée en envoyant un e-mail à « l’équipe eSafe » de l’USPS à l’adresse [email protected]. Cependant, les e-mails envoyés à cette adresse par BreachTrace n’ont suscité aucune réponse au cours des quatre derniers jours.
Pourtant, un lecteur a reçu une réponse curieuse en envoyant un e-mail à l’adresse du service client annoncée par le service de livraison informé d’USPS – [email protected]. Cette lectrice a demandé à l’USPS de retirer son adresse de l’éligibilité à la livraison informée et a demandé au service postal de lui faire savoir si quelqu’un s’était déjà inscrit au service à son adresse.
Selon un e-mail partagé avec cet auteur, l’équipe d’aide à la clientèle de l’USPS a répondu en demandant à la résidente de répondre à certaines de ses questions KBA en texte brut par e-mail.
Une réponse de la division Informed Delivery du service client de l’USPS.
Des sources disent à BreachTrace que l’USPS traite actuellement quelque 20 000 nouvelles inscriptions de compte Informed Delivery chaque jouret que l’USPS supprime en permanence les nouveaux enregistrements de compte qu’il estime être frauduleux.
Il existe également une nouvelle faille de sécurité potentielle dans le service de livraison informée de l’USPS. L’USPS génère désormais des revenus en permettant à des sociétés tierces pour annoncer du contenu interactif dans les communications Informed Delivery (PDF) envoyé aux abonnés par e-mail.
Le programme permet à l’USPS d’associer automatiquement les images de courrier numérisées à des campagnes publicitaires spécifiques. Selon un examen de ses guide d’utilisation de la livraison par courrier (PDF), cette initiative permet aux annonceurs de publier des contenus contenant des liens interactifs, qui pourraient être exploités par des malfaiteurs se faisant passer pour des annonceurs légitimes.
Ce graphique, tiré de l’alerte des services secrets, décrit le fonctionnement du système USPS Informed Delivery.