Eine Phishing-Kampagne zielt darauf ab, Bewohner in vielen US-Bundesstaaten mit gefälschten Verkehrsverletzungsbenachrichtigungen über Textnachrichten zu erreichen. Diese Nachrichten enthalten eingebettete QR-Codes, die die Opfer dazu verleiten, persönliche und finanzielle Informationen zu stehlen. Die Kampagne wurde in New York, Kalifornien, North Carolina, Illinois, Virginia, Texas, Connecticut und New Jersey gemeldet.

Im Gegensatz zu den 2025 weit verbreiteten Texten über Maut- und Parkverstöße, enthalten die Nachrichten das Bild einer erfundenen Gerichtsbenachrichtigung. Das Bildformat und der eingebettete QR-Code werden verwendet, um die Erkennung und Analyse der Phishing-Infrastruktur durch automatische Sicherheitswerkzeuge und Forscher zu erschweren.

Wie Funktioniert Der QR-Code-Betrug Bei Verkehrsverletzungen?

Die gefälschten Benachrichtigungen ahmen Staatsgerichte nach und eine davon behauptet, von dem Strafgericht der Stadt New York zu stammen. Die Nachricht gibt an, dass eine unbezahlte Park- oder Mautverletzung offiziell durchgesetzt wurde und leitet den Empfänger an, einen QR-Code zu scannen, um den Betrag zu bezahlen.

Das Scannen des QR-Codes leitet zu einer Zwischenseite, die ein CAPTCHA erfordert, um fortzufahren. Nach Abschluss des CAPTCHAs wird man zu einer zweiten Seite weitergeleitet, die eine Staats-DMV oder eine zuständige Behörde imitiert. In allen von BleepingComputer überprüften Beispielen wird der angegebene unbezahlte Betrag als $6.99. angegeben.

Phishing-Seiten, die die New Yorker DMV nachahmen, haben Hostnamen wie ny.gov-skd[.]org und ny.ofkhv[.]life verwendet.

Nachdem man den Bildschirm mit dem Saldo passiert hat, wird ein Formular angezeigt, das nach Name, Adresse, Telefonnummer, E-Mail-Adresse und Kreditkarteninformationen fragt. Diese Daten werden vom Angreifer gesammelt und können für finanzielle Betrügereien, Identitätsdiebstahl, nachfolgendes Phishing oder zum Verkauf an andere Bedrohungsakteure verwendet werden.

Wie Man Den QR-Code-Betrug Bei Verkehrsverletzungen Erkennen Und Vermeiden Kann?

Staatsbehörden haben bestätigt, dass sie keine Textnachrichten senden, die persönliche oder Zahlungsinformationen anfordern. Jede unerwünschte Nachricht, die behauptet, eine unbezahlte staatliche Strafe zu haben und den Empfänger auffordert, einen QR-Code zu scannen oder auf einen Link zu klicken, sollte ignoriert werden, egal wie offiziell das angehängte Bild aussieht.

Wenn Sie eine dieser Nachrichten erhalten, scannen Sie den QR-Code nicht, schließen Sie kein CAPTCHA ab und geben Sie auf der Zielseite keine persönlichen oder finanziellen Informationen ein. Der Betrag von $6.99 wird verwendet, um die Anfrage gewöhnlich und mit geringem Risiko erscheinen zu lassen, aber das Formular sammelt vollständige Kreditkarteninformationen.

Empfänger, die Informationen gesendet haben, sollten sofort ihre Banken oder Kartenaussteller kontaktieren, um potenziellen Betrug zu melden und eine Kartensperrung zu beantragen.