Une campagne de phishing cible les habitants de nombreux États américains en envoyant de faux avis d'infraction au code de la route par SMS. Ces messages contiennent des codes QR intégrés qui incitent les victimes à voler leurs informations personnelles et financières. La campagne a été signalée à New York, Californie, Caroline du Nord, Illinois, Virginie, Texas, Connecticut et New Jersey.

Contrairement aux messages de fraude sur les infractions de passage et de stationnement qui circulaient largement en 2025, ces messages contiennent l'image d'un faux tribunal. Le format d'image et le code QR intégré sont utilisés pour rendre difficile la détection et l'analyse de l'infrastructure de phishing par les outils de sécurité automatisés et les chercheurs.

Comment fonctionne la fraude par code QR d'infraction au code de la route ?

Les faux avis imitent les tribunaux d'État et l'un d'eux prétend provenir du tribunal pénal de la ville de New York. Le message indique qu'une infraction de stationnement ou de passage non réglée a été officiellement enregistrée et invite le destinataire à scanner un code QR pour régler le solde.

Scanner le code QR redirige vers une page intermédiaire nécessitant un CAPTCHA pour continuer. Une fois le CAPTCHA complété, le destinataire est redirigé vers un deuxième site imitant un DMV d'État ou une institution concernée. Dans tous les exemples examinés par BleepingComputer, le solde impayé indiqué est de 6,99 $.

Les sites de phishing imitant le DMV de New York ont utilisé des noms d'hôtes tels que ny.gov-skd[.]org et ny.ofkhv[.]life.

Après avoir passé l'écran de solde, un formulaire demandant le nom, l'adresse, le numéro de téléphone, l'adresse e-mail et les informations de carte de crédit est présenté. Ces données sont collectées par l'attaquant et peuvent être utilisées pour des fraudes financières, du vol d'identité, du phishing ultérieur ou vendues à d'autres acteurs malveillants.

Comment reconnaître et éviter la fraude par code QR d'infraction au code de la route ?

Les agences d'État ont confirmé qu'elles n'envoient pas de messages texte demandant des informations personnelles ou de paiement. Tout message indésirable prétendant qu'une amende d'État est due et incitant le destinataire à scanner un code QR ou à cliquer sur un lien doit être ignoré, peu importe à quel point l'image jointe semble officielle.

Si vous recevez l'un de ces messages, ne scannez pas le code QR, ne complétez aucun CAPTCHA et n'entrez aucune information personnelle ou financière sur la page de destination. Le montant de 6,99 $ est utilisé pour rendre la demande ordinaire et à faible risque, mais le formulaire collecte des informations complètes sur la carte de paiement.

Les destinataires ayant envoyé des informations doivent immédiatement contacter leurs banques ou émetteurs de cartes pour signaler la fraude potentielle et demander le remplacement de leur carte.