警惕！收到的免费包裹，千万别做这件事

警惕！“你没买却收到包裹”？这种“刷单诈骗”盯上了你和你的个资！

“我当时收到包裹，还以为是家人在开玩笑，想暗示我该吃得健康一点。”——美国乔治亚州亚特兰大居民西蒙斯（Simmons）在接受《WSB-TV》采访时回忆。

西蒙斯收到的是一盒健康食品，看似是一份善意的提醒，实际上却是一场精心设计的骗局。他完全没有意识到，自己竟然成了一个名为“刷单诈骗（Brushing Scam）”的新型诈骗手法的受害者，而整个过程他根本没有下单、没有付款，却卷入了一场涉及假评论操控与个人资料滥用的庞大黑灰产操作中。

什么是“刷单诈骗”？

“刷单诈骗”并非传统意义上的诈骗，它的运作机制更隐蔽，也更令人防不胜防。

根据美国邮政检查局（USPIS）与联邦贸易委员会（FTC）的定义，“刷单诈骗”是由某些电商平台的第三方卖家发起。他们会使用不法手段收集用户的姓名、住址甚至电话号码，然后将未被订购的廉价商品寄送至这些消费者家中。

但真正的目的不在于送礼，而是：

第一，假借收件人名义，在平台上制造“真实交易”假象。

第二，通过“刷单好评”操控电商平台排名与销量。

第三，建立更多虚假信誉，误导其他买家购买产品。

也就是说，你的地址和名字正在为别人“站台刷单”，而你却一无所知。

受害者是谁？可能就是你。

刷单诈骗受害者遍布全球，电商成熟国家更为常见。

很多人收到包裹后，第一反应是：是不是朋友送的？是不是下单忘记了？这是不是某种推广活动？是不是中奖了？

但实际上，这些寄件人往往根本无从联系，包裹没有发票，没有客服电话，也无法追踪退货。这正是诈骗者利用的“心理盲区”：当你感到困惑但不认为自己受损时，就不会采取行动。

更严重的是，这类诈骗也可能成为更深层次的犯罪活动前奏，包括：

身份盗用

精准诈骗（如冒充你亲友打电话、寄账单）

网络钓鱼攻击

恶意程式植入（尤其通过二维码）

QR码才是真正的陷阱。

虽然大多数刷单诈骗只限于寄送杂物，但近年来，有些包裹中还夹带了带有诱导文字的 QR 码，这才是最危险的部分。

诈骗者会利用收件人的好奇心，在卡片或说明书上写着：“扫描查看物流详情”、“点击确认收货可获得返现”或“注册享受VIP用户专属优惠”。

但实际上，这些二维码背后可能隐藏的是钓鱼网站、追踪程序、恶意App或欺诈性表单（伪装成Amazon、UPS等界面）。

美国邮政检察官大卫·吉利（David Gealey）公开警告说：“千万不要扫描陌生包裹上的二维码，很多人就是在这一瞬间，把个人资料拱手交给了黑客。”

幸运的是，西蒙斯收到的那份包裹并未附带QR码，他也及时检查了自己的电商和银行账户，确认未遭入侵。但并非每个人都如此幸运。

为什么你的资料会被泄露？

刷单诈骗能精准地把包裹寄到你家门口，说明诈骗者已经获得你的姓名、住址甚至电话号码。

这些资料从哪来？常见来源包括：

大型资料外泄事件（如酒店、航空、电商网站遭骇）

曾经填写的购物问卷或注册抽奖

公开社交媒体资料（生日、家庭住址可从贴文中推测）

搜索引擎泄露（许多拼团、快递网站可搜出姓名与地址）

黑市购买名单（一份包含5000人资料的名单在暗网上只要几美元）

一旦这些资讯被用于刷单，下一步极可能就是被用于精确诈骗或非法营销。

收到未订购包裹怎么办？请立刻采取以下措施：

一，不要扫描包裹附带的 QR 码。任何不明来源的二维码都可能是恶意入口，一律忽略或丢弃。

二，无需退货也无需付款。根据美国联邦法规（15 U.S. Code § 45），消费者无义务为未订购的商品付费或退货，你可以选择保留或丢弃，不会承担法律责任。

三，检查个人账户安全。立即查看你的 Amazon、银行、信用卡等账户，确认是否有异常活动，必要时更换密码或开启两步验证。

四，向相关机构举报。你可以通报美国邮政检查局（USPIS）、联邦贸易委员会（FTC）或当地警方，报告可疑包裹，以协助防范更多人受害。