去年收到过"欠费通知"短信的人,今年又成了目标。只不过这次骗子把链接换成了二维码,还附上了伪造的法院文件——成本不到7美元的心理陷阱,正在美国9个州批量收割车主信息。
从链接到二维码:骗子的"产品迭代"
2025年初,DMV和E-ZPass钓鱼短信曾席卷全美,加州、佛罗里达、纽约的司机被大量虚假欠费信息轰炸。据BleepingComputer最新报告,这轮骗局已蔓延至至少9个州:加州、康涅狄格、伊利诺伊、新泽西、北卡罗来纳、弗吉尼亚、得州,Mashable还发现佐治亚州也成为目标。
升级点很清晰:不再是光秃秃的链接,而是一张伪造的官方法院通知图片,外加一个二维码。通知用上了像模像样的法律术语,警告收件人其车辆涉及"未结违规",案件已进入"正式执行阶段"。扫码即可结清欠款——每笔都是6.99美元,刚好低到让人懒得核实。
扫码后,受害者会先遇到一个CAPTCHA验证,随后被导向伪造的DMV网站,填写姓名、地址、电话、信用卡信息。这些数据随后被用于身份盗窃、金融诈骗,或直接转卖给其他黑产链条。
去年版本的骗局依赖可点击链接,安全软件相对容易标记拦截。嵌入图片叠加CAPTCHA的设计,让自动化系统和安全研究者更难追踪识别。
6.99美元的定价心理学
BleepingComputer记录的所有案例中,"欠款"金额锁定在6.99美元。这个数字选得讲究:低于10美元的心理账户阈值,多数人不会为这点钱专门打客服电话核实;又高于免费,让"小额支付"显得合理。
骗子在这里玩的是摩擦成本游戏。当你收到一张6.99美元的"罚单",核实真伪需要查找法院电话、等待人工客服、描述情况——时间成本可能远超6.99美元。很多人选择扫码付款,图个省事。
结果是用6.99美元换走你的全套身份信息。信用卡可以挂失,但姓名、地址、社保号的组合一旦泄露,后续几年的钓鱼电话、精准诈骗、账户盗刷都会找上门。
各州政府的"被动防御"
今年3月,伊利诺伊州交通部发布警报,明确告知居民:声称欠交通罚款、过路费或其他费用的短信并非来自州政府。纽约等地的DMV机构也反复强调:州政府不会通过短信收款或索要个人信息。
加州总检察长Rob Bonta最近也发布了新闻稿警告居民。各州的反应模式类似——骗局出现、媒体曝光、政府发警报——但始终慢半拍。
问题在于,这类警报的传播半径有限。不会主动搜索"交通罚款诈骗"的人,大概率刷不到政府公告;而收到短信的人,看到的是一张带公章、有案号、语气严厉的"法院文件"。
「如果你收到关于未付费、交通违规或法庭案件的未经请求短信,无论看起来多么官方,都不要扫描、不要点击、不要付款。」Bonta的警告总结得很干脆。替代方案是:直接联系当地交通法庭或州DMV,真正的罚单通常通过邮寄送达。
技术对抗的困境
二维码在这类骗局中的角色值得细想。它解决了链接的几个痛点:链接可以被文本分析工具识别关键词,二维码需要图像识别;链接域名可以被黑名单拦截,二维码指向的短链接可以频繁更换;链接在短信中显示完整URL,二维码让用户"盲跳"到未知站点。
CAPTCHA的加入更是一层烟雾弹。普通用户看到验证码,会下意识认为这是正规网站的安全措施——毕竟真正的政府网站也用CAPTCHA。骗子借用这种认知惯性,把安全机制反转为信任背书。
对安全研究者来说,追踪这类骗局需要手动扫码、记录跳转链条、分析克隆网站,每一步都比扫描链接慢。这种时间差就是骗子的窗口期。
报告建议将可疑钓鱼诈骗提交给FTC或FBI互联网犯罪投诉中心。但现实中,多数人不会为没造成实际损失的"未遂诈骗"花时间填表——这也解释了为什么骗子可以反复使用同一套模板,只需更换州名和二维码。
你最近一次收到"官方通知"短信是什么时候?有没有因为金额太小而差点付款的经历?
热门跟贴