Les escrocs déploient une nouvelle variante des arnaques aux péages et aux contraventions de stationnement impayées, envoyant de faux SMS de « Avis de défaut » pour des infractions au code de la route qui usurpent l'identité des tribunaux d'État à travers les États-Unis. Cette campagne pousse les destinataires à scanner un QR code, qui redirige vers un site de phishing exigeant un paiement de 6,99 $ tout en volant des informations personnelles et financières. Il s'agit d'une variation des arnaques largement diffusées concernant les péages et les contraventions de stationnement impayées que les utilisateurs ont reçues précédemment, qui prétendaient provenir des agences de péage d'État. ### Détails de la campagne Cette nouvelle campagne a débuté il y a quelques semaines. Des signalements ont émergé de la part de résidents de New York, Californie, Caroline du Nord, Illinois, Virginie, Texas, Connecticut et New Jersey. Contrairement aux campagnes précédentes qui incluaient un SMS avec des liens directs vers des sites de phishing, cette nouvelle variante comprend une image d'un prétendu avis de tribunal avec un QR code intégré. « Cet avis constitue un avertissement final et urgent concernant une infraction de circulation en suspens impliquant votre véhicule immatriculé dans l'État de New York », indique le faux avis de tribunal, ajoutant que « cette affaire est maintenant entrée dans la phase de mise en application formelle ».  Le SMS partagé avec **BleepingComputer** prétend provenir du « Tribunal pénal de la ville de New York », indiquant qu'il y a une contravention de stationnement ou de péage impayée qui doit être réglée immédiatement, sous peine de devoir comparaître devant le tribunal. Des instructions sont incluses pour scanner un QR code afin de régler les soldes impayés. ### Tactiques de phishing Le scan du QR code redirige la cible vers un site intermédiaire qui lui demande d'abord de résoudre un CAPTCHA pour prouver qu'elle est humaine. L'utilisation de QR codes et de CAPTCHAs est conçue pour rendre plus difficile l'analyse de la campagne de phishing par les logiciels de sécurité automatisés et les chercheurs. La résolution du CAPTCHA vous redirige vers un autre site de phishing qui usurpe l'identité du DMV de l'État ou d'une autre agence, affirmant qu'il existe un péage ou une contravention de stationnement impayée. Dans tous les exemples observés, ce solde impayé est de 6,99 $. Par exemple, les sites de phishing qui usurpent l'identité du DMV de New York utilisent le nom d'hôte « ny.gov-skd[.]org » ou « ny.ofkhv[.]life ».  Cliquer sur « continuer » vous amène à une page où vous pouvez saisir vos informations personnelles et de carte de crédit pour payer la charge présumée. Ce formulaire est utilisé pour voler vos données, y compris votre nom, adresse, numéro de téléphone, adresse e-mail et informations de carte de crédit. ### Risques et atténuation Ces informations volées peuvent être utilisées pour une grande variété d'activités malveillantes, y compris des attaques de phishing de suivi, de la fraude financière, de l'usurpation d'identité et la vente de vos données à d'autres acteurs malveillants. En règle générale, si vous recevez un SMS d'un numéro de téléphone ou d'une adresse e-mail inconnus vous demandant de payer une facture, ignorez-le. Les agences d'État ont répété à plusieurs reprises en réponse à ces arnaques qu'elles n'utilisent pas de SMS demandant des informations personnelles ou de paiement.