1 概述

2025年4月21日，京东发布《致全体外卖骑手兄弟们的公开信》，称由于近期竟对平台对兼职外卖骑手强迫“二选一”，导致京东平台部分外卖订单延迟，造成不良用户体验。京东对此向相关用户致歉，并宣布自当日起，所有超时20分钟以上的外卖订单全部免单，此话题一度上升到各大平台热门话题。同时，安天CERT在日常监测网络安全事件中发现，有攻击者仿冒京东“购物补贴”、“国家补贴”等促销活动，实施钓鱼攻击，窃取受害者手机号和支付密码等信息，进而造成财产损失。安天CERT提醒用户，切勿相信非官方渠道参与促销等活动，避免点击短信、邮件或社交平台的不明二维码或链接。勿向非官方平台提供个人隐私信息，若发现异常及时举报并修改密码。

2 钓鱼分析

安天CERT在日常监测中发现钓鱼邮件，附件中伪造“《2025京东购物补贴》声明”，并且包含了一个钓鱼二维码。

图 2-1 钓鱼二维码

该二维码最终会识别为最终的钓鱼网址，且需要手机端才能打开。打开后展示钓鱼页面，主题为“京东2025年补贴申领平台”。

图 2-2 钓鱼页面

当用户点击立即申请后，会弹出手机验证页面，且攻击者后台会验证手机号是否真实，如不真实，会提示手机号不正确，如验证成功，会提示用户获取二维码。

图 2-3 获取验证码页面

当输入正确的手机号并点击获取验证码后，会向该手机号发送验证码，验证码是真实的京东发来的，可以看到京东会提示“您正在异地新设备上登录”等信息，也就是攻击者利用该手机号正在尝试登录京东平台。

图 2-4 收取验证码

当用户提交了正确的验证码后，会跳转到支付密码页面，进一步窃取受害者的支付密码。

图 2-5 支付密码页面

支付密码输入后，会提示信息审核中，攻击者在利用受害者的手机号、验证码、支付密码信息进行尝试登录京东平台。

图 2-6 信息审核页面

当支付密码输入错误时，会出现支付错误页面，提示“支付密码错误，请重新提交”。如果输入正确的支付密码，攻击者将能登录到受害者的京东账号中，进而造成财产损失。

图 2-7 支付错误页面