警惕!“你沒買卻收到包裹”?這種“刷單詐騙”盯上了你和你的個資!
“我當時收到包裹,還以為是家人在開玩笑,想暗示我該吃得健康一點。”——美國喬治亞州亞特蘭大居民西蒙斯(Simmons)在接受《WSB-TV》採訪時回憶。
西蒙斯收到的是一盒健康食品,看似是一份善意的提醒,實際上卻是一場精心設計的騙局。他完全沒有意識到,自己竟然成了一個名為“刷單詐騙(Brushing Scam)”的新型詐騙手法的受害者,而整個過程他根本沒有下單、沒有付款,卻捲入了一場涉及假評論操控與個人資料濫用的龐大黑灰產操作中。
什麼是“刷單詐騙”?
“刷單詐騙”並非傳統意義上的詐騙,它的運作機制更隱蔽,也更令人防不勝防。
根據美國郵政檢查局(USPIS)與聯邦貿易委員會(FTC)的定義,“刷單詐騙”是由某些電商平臺的第三方賣家發起。他們會使用不法手段收集使用者的姓名、住址甚至電話號碼,然後將未被訂購的廉價商品寄送至這些消費者家中。
但真正的目的不在於送禮,而是:
第一,假借收件人名義,在平臺上製造“真實交易”假象。第二,透過“刷單好評”操控電商平臺排名與銷量。第三,建立更多虛假信譽,誤導其他買家購買產品。
也就是說,你的地址和名字正在為別人“站臺刷單”,而你卻一無所知。
受害者是誰?可能就是你。
刷單詐騙受害者遍佈全球,電商成熟國家更為常見。
很多人收到包裹後,第一反應是:是不是朋友送的?是不是下單忘記了?這是不是某種推廣活動?是不是中獎了?
但實際上,這些寄件人往往根本無從聯絡,包裹沒有發票,沒有客服電話,也無法追蹤退貨。這正是詐騙者利用的“心理盲區”:當你感到困惑但不認為自己受損時,就不會採取行動。
更嚴重的是,這類詐騙也可能成為更深層次的犯罪活動前奏,包括:
身份盜用精準詐騙(如冒充你親友打電話、寄賬單)網路釣魚攻擊惡意程式植入(尤其透過二維碼)
QR碼才是真正的陷阱。
雖然大多數刷單詐騙只限於寄送雜物,但近年來,有些包裹中還夾帶了帶有誘導文字的 QR 碼,這才是最危險的部分。
詐騙者會利用收件人的好奇心,在卡片或說明書上寫著:“掃描檢視物流詳情”、“點擊確認收貨可獲得返現”或“註冊享受VIP使用者專屬優惠”。
但實際上,這些二維碼背後可能隱藏的是釣魚網站、追蹤程式、惡意App或欺詐性表單(偽裝成Amazon、UPS等介面)。
美國郵政檢察官大衛·吉利(David Gealey)公開警告說:“千萬不要掃描陌生包裹上的二維碼,很多人就是在這一瞬間,把個人資料拱手交給了黑客。”
幸運的是,西蒙斯收到的那份包裹並未附帶QR碼,他也及時檢查了自己的電商和銀行賬戶,確認未遭入侵。但並非每個人都如此幸運。
為什麼你的資料會被洩露?
刷單詐騙能精準地把包裹寄到你家門口,說明詐騙者已經獲得你的姓名、住址甚至電話號碼。
這些資料從哪來?常見來源包括:
大型資料外洩事件(如酒店、航空、電商網站遭駭)曾經填寫的購物問卷或註冊抽獎公開社交媒體資料(生日、家庭住址可從貼文中推測)搜尋引擎洩露(許多拼團、快遞網站可搜出姓名與地址)黑市購買名單(一份包含5000人資料的名單在暗網上只要幾美元)
一旦這些資訊被用於刷單,下一步極可能就是被用於精確詐騙或非法營銷。
收到未訂購包裹怎麼辦?請立刻採取以下措施:
一,不要掃描包裹附帶的 QR 碼。任何不明來源的二維碼都可能是惡意入口,一律忽略或丟棄。
二,無需退貨也無需付款。根據美國聯邦法規(15 U.S. Code § 45),消費者無義務為未訂購的商品付費或退貨,你可以選擇保留或丟棄,不會承擔法律責任。
三,檢查個人賬戶安全。立即檢視你的 Amazon、銀行、信用卡等賬戶,確認是否有異常活動,必要時更換密碼或開啟兩步驗證。
四,向相關機構舉報。你可以通報美國郵政檢查局(USPIS)、聯邦貿易委員會(FTC)或當地警方,報告可疑包裹,以協助防範更多人受害。