Betrugsoperationen haben sich über traditionelle Hacking-Techniken hinaus erweitert und umfassen nun Methoden, die legitime Dienste und reale Infrastrukturen ausnutzen. Durch die Kombination öffentlich verfügbarer Daten, schwacher Identitätsprüfungsverfahren und operativer Lücken bauen Bedrohungsakteure skalierbare Betrugsworkflows auf, die sowohl kostengünstig als auch schwer zu erkennen sind. Ein Tutorial, das in einer auf Betrug spezialisierten Chat-Gruppe geteilt und von **Flare**-Analysten analysiert wurde, liefert eine Schritt-für-Schritt-Anleitung zur Identifizierung und Ausnutzung leerstehender Wohnimmobilien zum Abfangen sensibler Post. Dies offenbart eine geringtechnische, aber hochwirksame Methode zur Ermöglichung von Identitätsdiebstahl und Finanzbetrug. Im Gegensatz zu traditionellen Cybercrime-Techniken, die auf Malware, Phishing-Kits oder Netzwerkeinbrüchen beruhen, konzentriert sich die in diesem Artikel beschriebene Methode fast ausschließlich auf den Missbrauch legitimer Dienste und physischer Logistik. Der Ansatz kombiniert Open-Source-Intelligenz, Funktionen von Postdiensten und Identitätsbetrug mit gefälschten Identitäten zu einem koordinierten Workflow, der darauf ausgelegt ist, dauerhaften Zugriff auf die Post von Opfern zu erlangen.  ## Leere Immobilien werden zu Betrugsinfrastruktur Das Tutorial beginnt mit der Identifizierung sogenannter „Drop-Adressen“, also realer Wohnimmobilien, die vorübergehend unbewohnt sind und zum Empfang von Post genutzt werden können, ohne die rechtmäßigen Bewohner sofort zu alarmieren. Bedrohungsakteure werden angewiesen, Immobilienplattformen wie **Zillow**, **Rightmove** oder **Zoopla** zu durchsuchen und nach kürzlich gelisteten Mietobjekten zu filtern. Durch die Konzentration auf neu verfügbare Angebote erhöhen Angreifer die Wahrscheinlichkeit, dass die Immobilie leer steht oder zwischen Mietern wechselt. Die Anleitung schlägt weiter vor, ältere Angebote zu überprüfen, um Häuser zu identifizieren, die über längere Zeit unbewohnt geblieben sind, was ihre Zuverlässigkeit als Drop-Standorte erhöht. In einigen Fällen empfehlen Bedrohungsakteure sogar, verlassene Immobilien physisch instand zu halten, um sie bewohnt erscheinen zu lassen und so das Risiko zu verringern, bei der Nutzung der Adresse für betrügerische Zwecke Aufmerksamkeit zu erregen. ## Überwachung eingehender Post zur Identifizierung wertvoller Ziele Sobald eine geeignete Adresse identifiziert ist, besteht die nächste Phase darin, legitime digitalisierte Postdienste zur Entdeckung und Überwachung eingehender Post zu nutzen. **Informed Delivery** ist beispielsweise ein kostenloser Dienst, der privaten Verbrauchern digitale Vorschauen ihrer eingehenden Briefpost liefert und Paketlieferungen verfolgt. Durch die Registrierung dieser Dienste für die ausgewählte Adresse können Angreifer eingehende Korrespondenz aus der Ferne überwachen und so wertvolle Elemente wie Finanzdokumente, Kreditkarten oder Verifizierungsbriefe identifizieren, bevor sie physisch auf den Briefkasten zugreifen. Dies verwandelt die Postzustellung in eine Form der Informationsbeschaffung, die gezielteren und effizienteren Betrug ermöglicht. Wenn die Adresse bereits registriert ist, verweist das Tutorial auf Adressänderungsanträge als Möglichkeit, die Kontrolle über die Postzustellung zurückzugewinnen. Diese Dienste sind für legitime Nutzer konzipiert, die ihren Wohnsitz wechseln, und sind über Postsysteme wie **USPS** weit verbreitet. Benutzer können beispielsweise online oder persönlich einen dauerhaften oder vorübergehenden Adressänderungsantrag (COA) einreichen, der die Weiterleitung von Post an einen neuen Standort für Zeiträume von mehreren Wochen bis zu 12 Monaten ermöglicht. Zusätzliche Dienste wie **Premium Forwarding** können die gesamte eingehende Post auf wiederkehrender Basis konsolidieren und weiterleiten. Obwohl diese Mechanismen Identitätsprüfungsverfahren beinhalten, wie z. B. die Anforderung einer kleinen Online-Zahlung, die mit einer Rechnungsadresse verknüpft ist, oder die Vorlage eines gültigen Lichtbildausweises persönlich, schlägt das Tutorial vor, dass Akteure diese Kontrollen als potenziell unzureichend oder inkonsistent durchgesetzt wahrnehmen. Insbesondere die Möglichkeit, Weiterleitungsanträge aus der Ferne einzureichen, kombiniert mit der Abhängigkeit von adressengebundener Verifizierung anstelle einer starken Identitätsbindung, kann Missbrauchsmöglichkeiten schaffen, wenn unterstützende Identitätsinformationen kompromittiert oder gefälscht sind. Infolgedessen kann die Kontrolle über die Postzustellung in einigen Fällen ohne direkte Interaktion mit dem legitimen Bewohner neu zugewiesen werden, wodurch ein Dienst, der für Komfort gedacht ist, zu einem potenziellen Vektor für unbefugte Umleitung wird. In dieser Phase geht die Operation über passive Zielerfassung hinaus und in die aktive Überwachung über, was Angreifern eine Sichtbarkeit verschafft, die die Erfolgsquote nachfolgender Betrugsfälle erheblich erhöht. ## Etablierung von Persistenz durch Postweiterleitung Nachdem bestätigt wurde, dass wertvolle Post zugestellt wird, verlagert sich der Workflow auf die Etablierung langfristigen Zugriffs durch Postweiterleitungsdienste. Die Akteure werden angewiesen, persönliche Postfachkonten einzurichten, die es ihnen ermöglichen, die gesamte eingehende Post von der Drop-Adresse an einen separaten Standort unter ihrer Kontrolle umzuleiten. Da diese Dienste in der Regel eine Identitätsprüfung erfordern, verlassen sich Angreifer auf gefälschte Identitäten, gefälschte Dokumente oder gekaufte persönliche Daten, um den Prozess abzuschließen. Dies markiert einen kritischen Übergang von der opportunistischen Abfangung zum dauerhaften Zugriff. Sobald die Postweiterleitung eingerichtet ist, müssen Angreifer den physischen Standort nicht mehr aufsuchen, wodurch die Exposition reduziert und der kontinuierliche Zugriff auf sensible Informationen aufrechterhalten wird. Die Verwendung gefälschter Identitäten, die oft gefälschte persönliche Daten oder Credit Privacy Numbers (CPNs) beinhalten, zeigt, wie diese Technik in breitere Betrugsökosysteme integriert wird. Anstatt isoliert zu agieren, wird der Missbrauch von Drop-Adressen zu einer Komponente in einer größeren Pipeline, die Kontoübernahmen, Kreditbetrug und Rückerstattungsbetrug unterstützen kann. In der Praxis können diese gefälschten Identitäten verwendet werden, um Postdienste zu registrieren, Weiterleitungsanträge einzureichen oder sensible Finanzkorrespondenz im Zusammenhang mit Opferkonten zu erhalten. Dies ermöglicht es den Akteuren, die Lücke zwischen digitaler Kompromittierung und realem Zugriff zu schließen, sodass sie Verifizierungsschritte abschließen, Authentifizierungsmaterialien abfangen oder neue Konten unter falschen Identitäten eröffnen können. Infolgedessen kann die Kontrolle über eine physische Adresse ein wichtiger Schritt bei Betrugsoperationen werden, die sowohl auf Glaubwürdigkeit der Identität als auch auf den Zugriff auf legitime Kommunikationskanäle angewiesen sind. ## Ein hybrides Betrugsmodell, das digitale und physische Ebenen kombiniert Die in dem Tutorial beschriebene Methode spiegelt eine breitere Entwicklung bei Betrugsoperationen wider, bei der digitale Informationsbeschaffung mit Manipulationen in der realen Welt kombiniert wird. Zusätzlich zur Nutzung von Online-Plattformen und Postdiensten beschreiben Akteure auch die Verwendung von Personen (manchmal aus gefährdeten Bevölkerungsgruppen rekrutiert), um physisch auf Briefkästen zuzugreifen oder gelieferte Gegenstände abzuholen. Dies führt eine menschliche Ebene in die Operation ein, die es Angreifern ermöglicht, Risiken auszulagern und sich weiter von direkter Beteiligung zu distanzieren. Die im Tutorial beschriebene Aktivität spiegelt einen breiteren Anstieg von Post-basiertem Betrug wider, der in jüngsten Berichten dokumentiert wurde. Laut Daten des **U.S. Postal** Inspection Service sind die Berichte über Postdiebstahl in den letzten Jahren erheblich gestiegen, wobei der Diebstahl aus Postbehältern zwischen 2019 und 2023 um 139 % zugenommen hat. Finanziell sind die Auswirkungen beträchtlich, da Postdiebstahlsysteme mit Hunderten von Millionen Dollar an verdächtigen Aktivitäten im Zusammenhang mit Scheckbetrug in Verbindung gebracht werden. Gleichzeitig hat auch der Missbrauch von Postumleitungsdiensten, ähnlich der im Tutorial erwähnten Technik, zugenommen, wobei der Adressänderungsbetrug von Jahr zu Jahr stark ansteigt. Zusammen verdeutlichen diese Trends, wie wertvoll die Kontrolle über physische Post geworden ist. Gleichzeitig erkennt das Tutorial operative Herausforderungen an. Virtuelle Adressen und häufig wiederverwendete Standorte werden zunehmend von Finanzinstituten markiert, was darauf hindeutet, dass Verteidiger beginnen, adressenbasierte Risikosignale in ihre Erkennungsmodelle zu integrieren. Daher betonen die Akteure die Bedeutung der Suche nach „sauberen“ Wohnadressen, die noch nicht mit betrügerischen Aktivitäten in Verbindung gebracht wurden. Zusammen illustrieren diese Elemente ein Betrugsmodell, das nicht von technischer Raffinesse, sondern von Koordination, Anpassungsfähigkeit und dem strategischen Einsatz legitimer Systeme angetrieben wird. ## Kein isoliertes Tutorial / Betrug Auch wenn dies wie ein isoliertes Tutorial aussehen mag, ist dies Teil eines breiteren Phänomens oder von Tutorials zur Suche nach physischen Drop-Adressen, einige sind kostenlos und andere kostenpflichtig. ## Erweiterung der Angriffsfläche über traditionelle Cybersicherheitskontrollen hinaus Das Aufkommen dieser Techniken unterstreicht eine wachsende Herausforderung für Organisationen: Viele der missbrauchten Systeme – Immobilienplattformen, Postdienste und Identitätsprüfungsverfahren – liegen außerhalb des Geltungsbereichs traditioneller Cybersicherheitsabwehrmaßnahmen. Da sich Betrugsoperationen weiterentwickeln, hängt die Erkennung zunehmend von der Korrelation von Signalen über Domänen hinweg ab, einschließlich Mustern der Adressnutzung, Aktivitäten zur Postweiterleitung und Identität