近期，京东平台针对外卖骑手“二选一”事件引发的订单延误问题，推出超时20分钟以上订单免单的用户补偿措施，引发行业广泛关注。与此同时，网络攻击者利用热点事件实施新型钓鱼攻击，通过伪造“购物补贴、国家补贴”等促销活动，诱骗用户泄露敏感信息，需高度警惕。

一、攻击手法解析

攻击者采用多阶段钓鱼攻击模式，具体流程如下：

1.钓鱼邮件传播：通过伪造主题为 “2025京东购物补贴” 的官方声明邮件，附件嵌入伪装成政策文件的钓鱼二维码，诱导用户扫码访问。

2.移动端钓鱼页面：扫码后跳转至高仿“京东2025年补贴申领平台”页面，以政府补贴名义营造正规申领场景。

3.手机号真实性验证：用户点击 “立即申请”后，进入手机验证环节。系统实时校验手机号有效性，虚假号码会触发“格式错误”提示，真实号码则进入下一环节。

4.验证码窃取陷阱：用户输入真实手机号并点击“获取验证码”后，攻击者利用京东账号异地登录机制，向用户发送真实的京东验证码短信（附带“异地新设备登录”提示），误导用户认为是正常申领流程。

5.支付密码盗取：提交正确验证码后，页面跳转至“支付密码验证”环节，诱导用户输入支付密码，攻击者后台同步尝试使用盗取的手机号、验证码及支付密码登录京东账户。

6.交互欺骗设计：若支付密码错误，显示“支付密码错误”提示页面；若正确则进入虚假“信息审核”状态，实则完成账户控制权窃取，为后续资金盗用埋下隐患。

二、安全防范建议

1.官方渠道验证：所有促销活动请通过京东APP或官网核实，切勿轻信邮件、短信或第三方平台发送的补贴信息。

2.链接安全检查：不扫描来源不明的二维码，不点击未经确认的短信、邮件链接，警惕 “补贴申领、账户异常”等紧急类话术。

3.信息保护原则：任何正规平台不会要求用户通过非官方页面提交支付密码、短信验证码等核心信息，遇此类要求立即终止操作。

4.异常情况处置：如收到“异地登录、新设备验证”等提示，第一时间通过官方渠道修改登录密码及支付密码，启用设备锁等安全功能，并向平台安全部门举报。

网络攻击者常利用社会热点设计钓鱼陷阱，此次攻击链通过伪造官方补贴场景，结合真实验证码机制实施跨环节欺骗，具有较强迷惑性。请广大师生务必增强信息安全意识，建立“三重验证”习惯——验证信息来源真实性、验证页面域名正规性、验证操作流程逻辑性，切实保护个人信息及财产安全。

信息来源：网络