Los estafadores están desplegando una nueva variante de las estafas de infracciones de peajes y multas de estacionamiento impagas, enviando mensajes de texto falsos de "Aviso de Incumplimiento" por infracciones de tráfico que suplantan a tribunales estatales en todo Estados Unidos. Esta campaña presiona a los destinatarios para que escaneen un código QR, que redirige a un sitio de phishing que exige un pago de $6.99 mientras roba información personal y financiera. Esta es una variación de las estafas de infracciones de peajes y multas de estacionamiento impagas enviadas masivamente que los usuarios recibieron anteriormente, las cuales afirmaban ser de agencias estatales de peajes. ### Detalles de la Campaña Esta nueva campaña comenzó hace unas semanas. Han surgido informes de residentes de Nueva York, California, Carolina del Norte, Illinois, Virginia, Texas, Connecticut y Nueva Jersey. A diferencia de campañas anteriores que incluían un mensaje de texto con enlaces directos a sitios de phishing, esta nueva variación incluye una imagen de un supuesto aviso judicial con un código QR incrustado. "Este aviso constituye una advertencia final y urgente sobre una infracción de tráfico pendiente relacionada con su vehículo registrado dentro del Estado de Nueva York", dice el aviso judicial falso, y agrega que "Este asunto ha entrado ahora en la etapa de ejecución formal".  El mensaje de texto compartido con **BleepingComputer** afirma ser del "Tribunal Penal de la Ciudad de Nueva York", indicando que hay una multa de estacionamiento o peaje impaga que debe pagarse de inmediato o la persona debe comparecer ante el tribunal. Se incluyen instrucciones para escanear un código QR para liquidar los saldos pendientes. ### Tácticas de Phishing Al escanear el código QR, el objetivo es redirigido a un sitio intermediario que primero le pide resolver un CAPTCHA para demostrar que es humano. El uso de códigos QR y CAPTCHAs está diseñado para dificultar que el software de seguridad automatizado y los investigadores analicen la campaña de phishing. Al resolver el CAPTCHA, se le redirige a otro sitio de phishing que suplanta al DMV del estado u otra agencia, afirmando que hay un peaje o multa de estacionamiento impaga. En todos los ejemplos vistos, este saldo pendiente es de $6.99. Por ejemplo, los sitios de phishing que suplantan al DMV de Nueva York utilizan el nombre de host "ny.gov-skd[.]org" o "ny.ofkhv[.]life".  Al hacer clic en "Continuar", se le llevará a una página donde puede ingresar su información personal y de tarjeta de crédito para pagar el cargo presunto. Este formulario se utiliza para robar sus datos, incluida su nombre, dirección, número de teléfono, dirección de correo electrónico e información de su tarjeta de crédito. ### Riesgos y Mitigación Esta información robada puede utilizarse para una amplia variedad de actividades maliciosas, incluidos ataques de phishing de seguimiento, fraude financiero, robo de identidad y la venta de sus datos a otros actores de amenazas. Como regla general, si recibe un mensaje de texto de un número de teléfono o dirección de correo electrónico desconocido solicitando el pago de una factura, ignórelo. Las agencias estatales han declarado repetidamente en respuesta a estas estafas que no utilizan mensajes de texto solicitando información personal o de pago.