你的手机响了。一条短信说你有一笔未缴交通罚款,扫二维码付6.99美元就能避免出庭。看起来正式,听起来紧急——全是假的。
这是正在美国多州蔓延的新型诈骗:冒充州法院发送虚假交通违规通知,用嵌入二维码的图片替代传统钓鱼链接。纽约、加州、北卡、伊利诺伊、弗吉尼亚、德州、康涅狄格和新泽西已有居民中招。
从短信链接到"法院通知"图片
2025年初曾出现一波冒充州收费机构的短信诈骗(smishing),通过直接链接把用户引向钓鱼网站。新变种换了玩法,也更难识别。
诈骗短信不再放纯文字链接,而是一张仿制的官方法院通知图片。带正式措辞、官方抬头,二维码直接嵌在文档里。Bleeping Computer披露的一个案例声称来自"纽约市刑事法院",警告停车或收费违规已进入"正式执行阶段",要求立即付款,否则必须亲自出庭。
这种设计绕过了一道防线:自动化安全工具更难把带二维码的图片标记为危险内容,而纯链接则容易被识别。
6.99美元的定价心理学
扫码后进入一个带验证码(CAPTCHA)的中间页。这一步是刻意设计的——用来过滤安全研究人员和自动化扫描程序,让钓鱼基础设施存活更久。
通过验证后,页面伪装成你所在州的车辆管理局(DMV)或其他政府机构,显示"未缴余额"。目前已记录的所有案例都是6.99美元。这个刻意选定的数字既制造紧迫感,又低到不会触发用户的警觉阈值。
点击付款后,表单索要姓名、地址、电话、邮箱和信用卡信息。所有数据直达诈骗者手中,可用于后续钓鱼或身份盗窃。
为什么真实法院不会这么干
真正的法院通过官方邮件沟通,不会发送带二维码的主动短信。这是识别骗局的关键锚点。
诈骗者选择交通违规作为切入点,精准利用了驾驶者的普遍焦虑:谁没担心过可能漏缴过路费或停车罚款?6.99美元的金额刚好落在"懒得核实"的心理舒适区——不值得花半小时打电话确认,但又足够让人想赶紧了结。
从产品设计角度看,这是一个精心计算的用户漏斗:短信制造焦虑,图片建立信任,二维码降低行动门槛,验证码筛选真实用户,低价消除决策阻力,最后一步收割数据。每一步都针对人性的特定弱点做了优化。
目前尚无数据披露这波诈骗的转化率或总损失金额。但多州同时出现、使用统一模板,暗示背后可能是组织化运作而非零散个体。
对于科技从业者,这个案例的价值在于观察诈骗者如何快速迭代"产品":当一种攻击方式被安全系统标记,立即切换到视觉化、去链接化的变体。验证码的中间层设计尤其值得注意——它把传统的"广撒网"模式变成了"精准过滤",提高了攻击效率。
用户侧的防御策略很简单:任何要求即时付款的政府通知,直接删除。真有违规,纸质邮件会到。省下的6.99美元,买杯咖啡压压惊。
热门跟贴