Uma campanha de phishing está direcionando residentes de vários estados dos EUA, enviando notificações falsas de infração de trânsito por meio de mensagens de texto. Essas mensagens contêm códigos QR embutidos que direcionam as vítimas a roubar suas informações pessoais e financeiras. A campanha foi relatada em Nova York, Califórnia, Carolina do Norte, Illinois, Virgínia, Texas, Connecticut e Nova Jersey.

As mensagens, ao contrário das fraudes de multas de estacionamento e passagem que circularam amplamente em 2025, incluem a imagem de um tribunal fictício. O formato da imagem e o código QR embutido são utilizados para dificultar a detecção e análise da infraestrutura de phishing por ferramentas de segurança automatizadas e pesquisadores.

Como Funciona a Fraude de QR Code de Infringência de Trânsito?

As notificações falsas imitam tribunais estaduais e uma delas afirma ter vindo do Tribunal Criminal da Cidade de Nova York. A mensagem indica que uma multa de estacionamento ou passagem não paga foi oficialmente aplicada e direciona o destinatário a escanear um código QR para pagar o saldo.

Escanear o código QR redireciona para uma página intermediária que requer um CAPTCHA para prosseguir. Quando o CAPTCHA é concluído, o usuário é redirecionado para um segundo site que imita um DMV estadual ou uma agência relevante. Em todos os exemplos analisados pelo BleepingComputer, o saldo não pago é indicado como $6.99.

Os sites de phishing que imitam o DMV de Nova York usaram nomes de host como ny.gov-skd[.]org e ny.ofkhv[.]life.

Após passar pela tela de saldo, é apresentado um formulário solicitando nome, endereço, número de telefone, endereço de e-mail e informações do cartão de crédito. Esses dados são coletados pelo atacante e podem ser usados para fraudes financeiras, roubo de identidade, phishing subsequente ou vendidos a outros atores de ameaça.

Como Reconhecer e Evitar a Fraude de QR Code de Infringência de Trânsito?

Agências estaduais confirmaram que não enviam mensagens de texto solicitando informações pessoais ou de pagamento. Qualquer mensagem indesejada que alegue uma multa estatal não paga e direcione o destinatário a escanear um código QR ou clicar em um link deve ser ignorada, não importa quão oficial a imagem anexada pareça.

Se você receber uma dessas mensagens, não escaneie o código QR, não complete nenhum CAPTCHA e não insira nenhuma informação pessoal ou financeira na página de destino. O valor de $6.99 é usado para fazer o pedido parecer comum e de baixo risco, mas o formulário coleta informações completas do cartão de pagamento.

Os destinatários que enviaram informações devem entrar em contato imediatamente com seus bancos ou emissores de cartões para relatar a possível fraude e solicitar a troca de cartão.