Die von Flare analysierte Anleitung beginnt mit der Suche nach geeigneten “Drop-Adressen” — realen Wohnimmobilien, die vorübergehend leer stehen. Die Täter werden angewiesen, Immobilienplattformen wie Zillow, Rightmove oder Zoopla zu durchsuchen und nach kürzlich inserierten Mietobjekten zu filtern. Wer sich auf neue Angebote konzentriert, erhöht die Wahrscheinlichkeit, dass das Objekt tatsächlich leersteht oder zwischen zwei Mietverhältnissen liegt. Auch ältere Inserate werden empfohlen, um länger unbewohnte Häuser zu finden. In manchen Fällen raten die Täter sogar dazu, verlassene Objekte physisch instand zu halten, damit sie bewohnt wirken.

Ist eine Adresse gefunden, folgt die Überwachung eingehender Post über legitime, digitalisierte Postdienste. Als Beispiel nennt die Anleitung Informed Delivery, einen kostenlosen Dienst, der Verbrauchern digitale Vorschauen ihrer eingehenden Briefsendungen liefert und Paketzustellungen verfolgt. Durch die Registrierung des Dienstes für die ausgewählte Adresse können Angreifer den Posteingang aus der Ferne beobachten und wertvolle Sendungen wie Finanzdokumente, Kreditkarten oder Bestätigungsschreiben erkennen, bevor sie den Briefkasten überhaupt physisch erreichen. So wird die Postzustellung zur Informationsbeschaffung.

Ist die Adresse bereits registriert, verweist die Anleitung auf Nachsendeanträge. Diese Funktionen sind eigentlich für umziehende Nutzer gedacht und über Postsysteme wie USPS breit verfügbar. Ein dauerhafter oder befristeter Nachsendeauftrag (Change of Address) lässt sich online oder persönlich einreichen und leitet Post für Zeiträume von einigen Wochen bis zu zwölf Monaten um; Zusatzdienste wie Premium Forwarding bündeln und leiten sämtliche eingehende Post fortlaufend weiter. Zwar greifen Schutzmechanismen wie eine kleine, an eine Rechnungsadresse gebundene Online-Zahlung oder die Vorlage eines Lichtbildausweises — die Anleitung hält diese Kontrollen jedoch für unzureichend oder uneinheitlich durchgesetzt. Vor allem die Möglichkeit, Anträge aus der Ferne zu stellen, und die Bindung an die Adresse statt an eine starke Identitätsprüfung schaffen Spielraum für Missbrauch.

Nach der Bestätigung, dass wertvolle Post eintrifft, richtet sich der Ablauf auf dauerhaften Zugriff: Die Täter legen persönliche Postfachkonten an, um alle Sendungen von der Drop-Adresse an einen eigenen Ort umzuleiten. Da solche Dienste in der Regel eine Identitätsprüfung verlangen, greifen sie auf gefälschte Identitäten, gefälschte Dokumente oder gekaufte Personendaten zurück — häufig unter Verwendung erfundener Angaben oder sogenannter Credit Privacy Numbers (CPNs). Damit muss der physische Ort nicht erneut aufgesucht werden, während der Zugriff auf sensible Informationen bestehen bleibt. Der Adressmissbrauch wird so zu einem Baustein größerer Betrugsketten für Kontoübernahmen, Kreditbetrug und Erstattungsbetrug.

Laut Flare beschreiben die Täter zudem den Einsatz von Personen — teils aus gefährdeten Gruppen rekrutiert —, um Briefkästen physisch zu leeren, und lagern so das Risiko aus. Flare ordnet das Vorgehen in einen breiteren Anstieg postbezogenen Betrugs ein: Nach Daten im Umfeld des U.S. Postal Inspection Service stieg der Diebstahl aus Briefkästen zwischen 2019 und 2023 um 139 Prozent, mit Bezügen zu Scheckbetrug in Höhe von hunderten Millionen Dollar an verdächtigen Aktivitäten. Auch der Missbrauch von Nachsendediensten nahm stark zu. Zugleich räumt die Anleitung Hürden ein: Virtuelle und häufig wiederverwendete Adressen werden von Finanzinstituten zunehmend markiert, weshalb die Täter Wert auf “saubere” Wohnadressen ohne bisherige Betrugshistorie legen. Flare betont, dass solche Anleitungen — teils kostenlos, teils kostenpflichtig — kein Einzelfall sind und Systeme wie Immobilienplattformen, Postdienste und Identitätsprüfungen außerhalb klassischer Cybersicherheitsabwehr liegen.