2026 假日包裹关税诈骗：11 月至 1 月浪潮

Rebecca 在十二月底付的那笔 4.50 欧元关税

Rebecca 在 12 月 14 日给妹妹订了一份圣诞礼物，是一瓶 89 美元的香水，来自她在节日礼物盘点文章里读到的一家法国小众精品网店。订单确认页写着国际运输需 10 到 14 个工作日。妹妹的生日落在 1 月 3 日，所以怎么算都来得及。

12 月 22 日晚上 8 点 40 分左右，她收到了那条短信。

"USPS：您的国际包裹已被海关扣留。应缴 4.50 欧元进口关税。点击此处放行：usps-customs-pay.com/release/9821"

Rebecca 大概只想了四秒钟。是的，她确实从法国订了东西。是的，国际包裹偶尔会涉及关税。4.50 欧元比一杯咖啡还便宜。短信开头写着的承运商名字 USPS 就摆在那儿。妹妹的礼物就在那个包裹里。再过三天就是圣诞节。整周的认知负担大约九成在礼物物流上，剩下一成给了其他所有事。

她点了那个链接。打开的页面几乎是 USPS 支付门户的完美复刻，蓝色的鹰徽、对的那种红白色调、一个运单追踪小组件，当她输入短信里那个编造的运单号时，返回了一个通用的"已扣留：进境服务中心"状态。表单上要求填卡号、有效期、CVV 和账单 ZIP。她用绑定主活期账户的 Visa 借记卡支付了 4.50 欧元。确认页写着"已收到付款。您的包裹将在 24 小时内放行。"还有一个看起来很正规的确认号。一切都没有破绽。

那家法国精品店的实物包裹在 12 月 28 日到货，与那条短信完全无关，没有任何关税，没有任何幺蛾子。Rebecca 短暂地觉得时间点有点奇怪，但没把两件事联系起来。假期继续过。新年。家庭聚会。回去上班。那只 89 美元的香水盒先放到圣诞树下，然后被送给了妹妹。

2 月 8 日，距离那条短信六个半星期之后，Rebecca 中午打开银行 App，发现三笔她不认识的交易。一笔 640 美元的奢侈品电商消费，她从未在那里买过东西。一笔 720 美元的某城市叫车账户充值，她从未去过那座城市。一笔 440 美元的礼品卡购买。合计 1,800 美元。一周之前她的卡上有一笔 1.50 美元的小额试卡交易，她没注意，因为看起来像是一笔常规订阅费。然后卡就被掏空了。

经过四周的争议处理，她的银行撤销了所有这些扣款，这是美国《公平信用账单法》关于未授权交易的常规窗口。钱拿了回来。但 12 月 22 日的那套卡信息，在争议关闭之前已经在某暗网批发市场上被转售了至少两次，这意味着卡数据仍在流通。Rebecca 的卡被重新发了一张。她的邮箱和电话号码现在已经永久躺在多份诈骗目标名单上，这又是一个慢热的麻烦。

这套卡数据流入了我们在 2026 年安全在线支付与虚拟卡指南 里描述的同一个大生态。根据 2024 年多份地下市场分析，主流暗网批量卡市场每季度处理数百万条被盗卡数据，季节性短信钓鱼浪潮正是它们一年中最大的"补货季"之一。

Rebecca 只是一个例子。FTC 消费者哨兵网络 2024 年报告显示，短信驱动的欺诈在 2024 年给美国消费者造成 4.7 亿美元损失，是该渠道有史以来最高纪录，假日季度始终是负担最重的一段。FBI 互联网犯罪投诉中心 2024 年针对快递与关税短信骗局的公益警示，专门点名 11 月至 1 月窗口为风险峰值期。

为什么 11 月到 1 月是最佳行骗窗口

假日季度不只是短信钓鱼量更大，对攻击者而言，更容易得手的根源也藏在体系里。具体有四个原因。

原因 1：真实的国际包裹量正处于全年峰值。美国邮政局监察长办公室 2024 年假日季节警示提到，11 月中到 12 月底进境美国的国际包裹量是其他时段的两倍，主要由跨境电商礼物采购拉动。同样的模式在英国 Royal Mail、加拿大 Canada Post 和澳大利亚 Australia Post 的数据中都出现。更多真实的国际包裹意味着更多收件人能合理地相信"是啊，我确实从国外订了东西"。

原因 2：多个预期到货的包裹会让人分不清谁是谁。根据 BBB 诈骗追踪器对 2024 年假日投诉的分析，一个典型美国家庭从黑五到 12 月 25 日之间会收到 5 到 15 件包裹。在如此多的进境包裹中，把某条短信通知与某个具体订单交叉核对的认知成本很高。收件人往往并不真正知道哪个承运商负责哪一单，尤其当零售商根据仓库出仓地点把订单分配给多个承运商时。"USPS 说我的包裹被扣留"听起来不需要进一步核查就成立。

原因 3：圣诞节后的积压延长了"看起来可信"的窗口。"短信钓鱼浪潮在 12 月 25 日结束"是一种迷思，是错的。承运商自己每年都会发布"延误可能持续到一月中旬"的公告，这意味着"您的包裹在海关延误"这类短信，一直深入新年都仍然可信。CISA 的 2024 年假日购物网络安全警示专门把一月节后期标记为持续高风险期，而不是大多数消费者以为的淡季。

原因 4：压力窗口期的警觉性下降。假日季伴随着压力升高、睡眠减少、每天要做的财务决策更多以及短信总量上升。组合起来会降低普通用户"点之前先核对"的阈值。英国 Action Fraud 在 2024 年假日警示中指出，11 月至 1 月期间每名受害者的报告损失比一年中其他时段高出 30% 到 40%，说明受害者不仅更多，也更深入地走完了整个漏斗才反应过来。

2026 年活跃的 5 种变体

措辞每隔几周会随着运营商垃圾过滤器更新而轮换，但底层模板是稳定的。如果您收到的短信符合下面任何一种，默认按诈骗处理。

变体 1：关税短信

"USPS：您的国际包裹被海关扣留。应缴 4.50 欧元进口关税。点击放行：[链接]"

2026 年的主流变体。能奏效是因为收费金额刻意压得很小（通常 2.99 至 8.99 美元或 2 至 8 欧元），关税这个借口对国际包裹来说独具可信度，时间压力又是隐式的（"在送达之前"）。卡信息会被在几乎完美的 USPS、FedEx、DHL、Royal Mail 或 Colissimo 复刻页面上收割。真正的 USPS、FedEx、DHL、UPS、Royal Mail、Australia Post、Canada Post 与 La Poste Colissimo 从不通过短信链接收取关税。关税是在送达时当面结算、通过您的清关代理处理，或由承运商账单部门通过邮件或纸质信件寄出发票。

变体 2：未送达需重新预约

"USPS：我们今天尝试送达您的包裹但无人在场。请于退回前重新预约：[链接]。需支付 1.99 美元重投费。"

典型的错过送达模板，被改造用于假日窗口。我们在 FedEx 错过送达短信骗局指南 和 USPS 未送达短信骗局指南 里有详细分析。假日季会让转化率猛增，因为收件人确实在等包裹，又不在家，无法核实是否真有派送尝试。真正的承运商会留下实体通知或 App 内通知，绝不会通过短信发送付款链接。

变体 3：地址核验

"FedEx：我们无法核验运单号 7747... 的目的地地址。请在 24 小时内于 [链接] 完成确认。"

伪造的运单号看起来像真的（承运商运单号遵循一定长度与格式规则，容易仿造），增加了正当性。页面会要求完整重新填写地址，有时还要电话、邮箱与出生日期。这是身份资料的收割，有时会搭配一笔"0.99 美元核验费"来捕获信用卡。DHL 版本在 DHL 包裹追踪短信骗局指南 里有覆盖。

变体 4：送达前需缴税

"Royal Mail：您来自 [国家] 的包裹被扣留，需支付 2.99 英镑增值税。立即支付以接收派送：[链接]"

英国与欧盟专属变体。对超过一定价值阈值的进口商品征收增值税在现实中确实存在（英国 135 英镑、欧盟 150 欧元），这给借口提供了真实世界的分量。英国 Action Fraud 与苏格兰警方都在其 2024 年假日警示中把这个变体列为 12 月至 1 月期间英国量级最大的短信钓鱼模板。真正的 HMRC、Royal Mail 与 La Poste Colissimo 都不会通过短信链接收取增值税。我们的 Colissimo 与 La Poste 法国送达短信钓鱼指南 深入剖析了法国版本。

变体 5：圣诞礼物滞留仓库

"USPS 假日服务：您的礼物包裹滞留在我们的假日仓库。确认派送偏好并支付 3.99 美元加急放行费：[链接]"

只在 11 月底到 1 月初出现的季节专属变体。利用礼物派送的情感分量（您可不想妹妹的圣诞礼物卡在仓库里）。"加急放行费"的措辞让这笔小额支付像是一次服务升级而非一笔税费。卡数据流向与其他变体相同的后台。任何真实承运商都没有所谓的"假日仓库"。常规派送路线全年通用。

真实的 USPS、FedEx、DHL 与海关通知到底长什么样

最简单的防御就是知道真实通知是什么样子。请记住这些事实。

• 真实承运商只在您主动订阅时才发短信。USPS Informed Delivery、FedEx Delivery Manager、DHL eCommerce 通知、Royal Mail Track and Trace 提醒、Canada Post 派送通知与 Australia Post AusPost App 提醒，全部都是与真实账号和您注册过的真实运单号绑定的可选订阅服务。向从未订阅过的人随机发送未经请求的短信，本身就不正当。
• 真实的关税是在送达时当面缴纳，或通过承运商 App 内账号缴纳。USPS 在派件员把包裹交到收件人手上之前，会当面收取应付关税。FedEx 与 UPS 通过您的账号或邮件发票计费。DHL 通过收件人的 App 内账号或当面收取。La Poste Colissimo 与 Royal Mail 通过其官方 App 或邮政渠道寄出可付款发票来处理关税。没有任何一家会用短信链接从一张 Visa 卡上收取 4 美元关税。
• 真实的承运商短信不会包含可点击的付款链接。真实的状态消息会指引您前往承运商的主域名去追踪和付款。您手动输入域名，而不是点击。
• 关税不会在包裹到达入境国之前就出现。如果您在 12 月 14 日下了单，又在 12 月 22 日收到"被海关扣留"的短信，包裹可能根本还没离开发货国。在真实承运商站点上追踪以确认在途状态，再决定是否支付任何"费用"。
• 低于价值门槛的包裹不收关税。美国 de minimis 在 800 美元以下、欧盟 150 欧元以下免增值税、英国 135 英镑以下免增值税（2021 年后的规则）。一瓶来自法国精品店的 89 欧元香水，低于美国关税门槛，欧盟阈值对美国收件人来说并不适用。一笔"4.50 欧元关税"出现在低于门槛的包裹上，数学上就是错的。

任何送达短信里的红旗信号

• 短信里有一个要求支付费用的可点击链接。真实承运商短信绝不会通过内嵌链接收钱。这是单一最大的破绽。
• URL 不在真实承运商域名上。真实 USPS 在 usps.com。真实 FedEx 在 fedex.com。真实 DHL 在 dhl.com 或国家变体。真实 Royal Mail 在 royalmail.com。真实 La Poste Colissimo 在 laposte.fr 或 colissimo.fr。其他都是假的。
• 链接是短链。bit.ly、tinyurl.com、t.ly、cutt.ly、urlkub.co 或其他短链服务。真实承运商不会缩短自己的网址。
• 域名里把承运商关键词和连字符拼在一起。例如 usps-customs-pay.com、fedex-tracking.live、dhl-clearance.xyz、royalmail-postage.click、colissimo-verify.top。真实承运商不会把品牌名与描述词用连字符拼接。
• 域名使用可疑顶级域。.xyz、.top、.live、.click、.cn、.ru、.icu 或其他低价 TLD。真实承运商使用 .com、国家代码 TLD 如 .co.uk、.fr、.de、.ca 或 .com.au。
• 运单号与承运商格式不符。USPS 运单号为 20 至 22 位数字。FedEx 为 12 至 15 位数字。DHL 为 10 位数字或字母数字组合。UPS 以 1Z 开头共 18 位。Royal Mail 为 13 位，以 GB 结尾。任何不符模式的都是假的。
• 把紧迫感语言与小额费用绑定。"24 小时内付款"加上"2.99 美元费用"是短信钓鱼套件用于绕过用户核验的标准情绪设计。
• 费用金额可疑地具体且很小。真实承运商的费用要么为零（由承运商承担），要么通过您的账号开发票。它们不会以 3.97 美元或 4.50 欧元的形式通过短信链接出现。

5 秒 URL 核查法

您不需要记住每一种 URL 模式。对任何假日短信用下面这套流程。

1. 不要点击链接。任何带付款链接的承运商短信，一律默认按诈骗处理。
2. 打开一个新的浏览器标签页。手动输入真实承运商域名：usps.com、fedex.com、dhl.com、ups.com、royalmail.com、canadapost.ca、auspost.com.au、laposte.fr。为明年加个书签。
3. 在真站点上搜索运单号。把短信里的运单号（如果有）粘到官方追踪框里。伪造的运单号会返回"无信息"。真实运单号会显示完整在途历史。号码不存在，短信就是假的。
4. 如果确实需要缴税，请通过承运商账号或其 App 处理。真实的关税收取发生在承运商已认证账号中或送达时，而不是随机短信链接里。
5. 举报这条短信钓鱼。转发到 7726（美国、加拿大、英国与澳大利亚通用的短信垃圾举报短码），到 reportfraud.ftc.gov 报告，到 FBI IC3 立案，针对 USPS 冒充则到 uspis.gov/report 举报。然后删除短信。

如果想就某个具体链接获得第二意见，请粘贴到 SafeBrowz URL 安全检测器。检测器会展开短链、检查域名年龄（大多数短信钓鱼目的地存活不到 30 天）、把 URL 跑过社区黑名单，并在数秒内返回判定。无需登录。

虚拟卡防御

对抗假日卡信息收割的单一最佳技术防御，就是绝不把主卡号填进您通过短信进入的任何支付表单。哪怕页面看起来再真实。请使用您银行提供的虚拟卡号、发卡行 App、或者 Privacy.com、Revolut 一次性虚拟卡、Wise 虚拟卡、Apple Card 的"卡号"功能这类服务。虚拟卡允许您设置单笔或单商户限额，被骗用后一键关闭。完整教程在 2026 年安全在线支付与虚拟卡指南。

对于信用卡，美国《公平信用账单法》给您 60 天争议未授权交易的窗口；英国《消费者信用法》第 75 条对于 100 英镑以上的购买给出 13 个月退款保障；加拿大 PSP 规范给 30 天。了解窗口很重要，因为短信钓鱼到卡盗刷的循环通常需要 6 到 12 周才会爆发，远远超过最初点击那一刻。

如果您已经付了那笔假费用怎么办

如果您点了链接并付了款，请按信用卡泄露而不是一次小损失来处理。

• 立刻拨打发卡行电话。用您实体卡背面印的电话。不要在 Google 搜"[银行] 反欺诈电话"，因为技术支持骗子常在假日话务高峰期投放假冒客服列表。银行会取消并重发卡。多数大行的反欺诈专线 24 小时在线。
• 逐笔审查交易记录，寻找未授权扣款。对任何可疑交易在 60 天内（美国《公平信用账单法》）、13 个月内（英国第 75 条）或当地等效窗口内提出争议。多数攻击者会等 6 到 12 周再开始试卡，所以您要持续核对到一月和二月。
• 到美国三大征信机构（Equifax、Experian、TransUnion）添加欺诈警报。打给其中任意一家就会自动传给另外两家。警报免费，持续 12 个月。英国居民走 Experian、Equifax 或 TransUnion UK 的等效流程。加拿大居民走 Equifax Canada 或 TransUnion Canada。
• 到 reportfraud.ftc.gov 立案（美国），actionfraud.police.uk（英国），或 antifraudcentre-centreantifraude.ca（加拿大）。这会给执法和消费者保护机构提供数据。
• 如果您还输入了 SSN、护照号或出生日期，请在三家征信机构办理征信冻结（免费，会阻止以您名义开新账户），到 identitytheft.gov 立案，并检查您的 IRS 或 HMRC 账户，确保没有被冒名提交报税。
• 如果您在 Android 上下载了 APK，请立即卸载并跑一次手机杀毒扫描。某些 2026 年假日短信钓鱼变体会推送一个"承运商追踪 App"，实际上是一个银行木马，会从真实银行 App 收割短信一次性验证码。

如何举报假日短信钓鱼

举报会为网络级检测信号提供素材，并给消费者保护机构提供发布新警示所需的数据。值得用的渠道：

• 把短信转发到 7726。美国（AT&T、Verizon、T-Mobile 均支持）、加拿大、英国与澳大利亚通用的短信垃圾举报短码。免费。多份举报叠加后，您的运营商会在数小时内封禁发送方。
• FTC 消费者哨兵。reportfraud.ftc.gov。美国联邦消费者保护数据库。供执法和政策使用。
• FBI IC3。ic3.gov。美国互联网犯罪投诉中心。损失超过 500 美元或存在身份盗用证据时尤为重要。
• USPIS，针对 USPS 冒充。uspis.gov/report。美国邮政监察服务。专门处理邮件和包裹诈骗。
• FedEx、DHL、UPS 反欺诈邮箱。abuse@fedex.com、phishing-dpdhl@dhl.com、fraud@ups.com。这些承运商都有专门的安全团队追踪行动、向托管服务商提交下架请求。
• 英国 Action Fraud。actionfraud.police.uk 或 0300 123 2040。英国国家欺诈与网络犯罪举报中心。
• 加拿大反欺诈中心。antifraudcentre-centreantifraude.ca 或 1-888-495-8501。具备强假日窗口分析能力的国家数据库。
• 澳大利亚 ScamWatch。scamwatch.gov.au。ACCC 的消费者保护分支。
• Cybermalveillance.gouv.fr。法国国家网络犯罪门户。法国境内的短信垃圾举报也可拨打 33700。

为什么假日浪潮年复一年地变大

BBB 诈骗追踪器 2024 年假日季数据显示，11 月至 1 月的短信钓鱼与包裹骗局类别同比上涨约 35%，损失集中在圣诞后窗口，受害者往往要等到节后账单到达才发现欺诈。三个根源在体系层面的原因。

攻击基础设施已经"开箱即用"。地下市场上 50 至 500 美元一套的钓鱼即服务套件，内置针对 USPS、FedEx、DHL、UPS、Royal Mail、Canada Post、Australia Post、La Poste Colissimo 和德国邮政 DHL 的预制冒充模板。运营一次行动不需要任何技术能力。一台笔记本、几美元的域名注册、一份号码清单，就能开张。

短信没有电子邮件那种成熟的垃圾过滤。运营商级短信垃圾过滤虽然存在，但比邮件落后二十年，只处理一小部分流量。在 STIR/SHAKEN 风格的短信发送方认证完全部署之前（自 2022 年起就在讨论，目前仍未完成），这条渠道基本是敞开的。

失败行动的代价基本为零。首批滥用举报后 24 至 72 小时域名就被烧掉，但攻击者会立即起一个新的。在 Cloudflare Pages、Vercel、Netlify 或任何带免费 TLS 的平台上托管都是自动且即时的。下架循环是永久的背景噪音；攻击者的迭代周期比防御者短。

SafeBrowz 如何拦截这类威胁

SafeBrowz 采用三层检测架构：本地 + API + AI。

• 第一层，本地检测：60+ 条 URL 模式特征加 550+ 个品牌专属特征（USPS、FedEx、DHL、UPS、Royal Mail、Canada Post、Australia Post、La Poste Colissimo、德国邮政 DHL、日本邮政、India Post 与其他承运商品牌）直接在您的浏览器中运行。能在点击发生的瞬间识别"承运商关键词出现在非承运商 TLD 上"、连字符拼接的高仿、西里尔同形异义、免费托管子域等模式，在仿冒支付页加载之前就拦下。
• 第二层，API 核查：Google Safe Browsing、PhishTank、URLhaus 与 ScamAdviser 交叉比对在服务端运行。全球任何一处刚被举报的恶意 URL 都会被即时识别，包括那些在假日窗口里每 24 至 72 小时就被烧掉重建的一次性高仿域名。
• 第三层，AI 深度扫描（高级版）：内容分析能识别尚未被任何黑名单收录的全新承运商冒充页。比如四小时前刚上线、此刻正通过短信猛投的伪造 USPS 关税页。引擎支持 100 多种语言，同样能识别法国 Colissimo 高仿、英国 Royal Mail 高仿、澳大利亚 AusPost 高仿与加拿大 Canada Post 高仿。

检测特征来自威胁情报研究和我们自有的品牌数据库，并非来自用户浏览数据。SafeBrowz 不存储每位用户的浏览记录。

关于假日关税骗局的常见问题

真实承运商会通过短信收取关税吗？

不会。USPS、FedEx、DHL、UPS、Royal Mail、La Poste Colissimo、Canada Post 与 Australia Post 都不会通过短信链接收取关税或进口费。真实的关税在送达时当面收取、通过收件人已认证的承运商账号或 App 收取，或由承运商账单部门通过邮件或纸质信件寄出发票收取。任何要求您在卡表单上通过可点击链接缴关税的短信，都是骗局。

为什么关税费骗局在假日期间更常见？

有三个原因。进境美国、英国、欧盟、加拿大与澳大利亚的真实国际包裹量从 11 月中到 12 月底大约翻倍，意味着更多人真的相信自己有一件入境国际包裹。多个预期到货的包裹会让人分不清哪家承运商承运哪一单，降低了交叉核对的认知成本。假日压力也会拉低普通用户"点之前先核验"的阈值。英国 Action Fraud 指出，11 月至 1 月窗口的每名受害者损失比一年中其他时段高 30% 到 40%。

我付了那笔很小的假费用。除了那 5 美元还要担心更多吗？

要担心。那笔费用不是目标，您完整的卡号、有效期、CVV 与账单 ZIP 才是。卡信息会在暗网批量市场被转售，通常在最初点击之后 6 到 12 周才被用于更高金额的盗刷，往往就在节后卡账单已经被审查并归档之后。请今天就联系发卡行，注销并重新发卡。美国《公平信用账单法》给您 60 天对未授权扣款提出争议的窗口。英国第 75 条对 100 英镑以上的购买提供 13 个月保护。现在行动可以阻止后续的慢热盗刷。

怎么判断一笔关税是不是真的？

手动在浏览器里输入承运商的真实域名（usps.com、fedex.com、dhl.com、royalmail.com、colissimo.fr、canadapost.ca、auspost.com.au）。登录您的账号，或使用追踪搜索在官方上查询短信里的运单号。真实的费用会显示在您已认证的账号里。如果运单号返回"无信息"或根本不存在，短信就是假的。同时也核对一下包裹价值是否真的会过本国关税门槛（美国 de minimis 800 美元、欧盟 150 欧元免增值税、英国 135 英镑免增值税）。低于门槛的包裹不欠关税。

短信是从一个 10 位手机号发来的，而不是短码，这有问题吗？

有，这本身就是一面红旗。真实的承运商通知来自登记在承运商名下的短码（USPS 使用 28777，FedEx 使用 48773，DHL 使用各国不同的短码）。一个随机的 10 位号码给您发派送通知，几乎可以肯定是骗局。请转发到 7726 举报。

我每年都举报骗局，量却只增不减。举报到底有用吗？

有用，哪怕单条举报感觉影响很小。7726 举报会喂给运营商级别的发送方封禁，多份举报叠加后几个小时内就会生效。FTC、FBI IC3、Action Fraud、反欺诈中心与 ScamWatch 的数据驱动公开警示，警告其他消费者并为执法机构排定优先级。承运商的反欺诈邮箱（abuse@fedex.com、phishing-dpdhl@dhl.com）会把下架请求发给托管服务商。聚合效应是真实的，哪怕每一份报告感觉都很小。

最后更新：2026 年 5 月 29 日