Criminosos estão implementando uma nova variante de golpes de violação de pedágio e multas de estacionamento não pagas, enviando mensagens de texto falsas de "Aviso de Inadimplência" sobre infrações de trânsito que se passam por tribunais estaduais em todos os EUA. Esta campanha pressiona os destinatários a escanear um QR code, que redireciona para um site de phishing exigindo um pagamento de US$ 6,99 enquanto rouba informações pessoais e financeiras. Esta é uma variação dos golpes amplamente enviados de violação de pedágio e multas de estacionamento não pagas que os usuários receberam anteriormente, que alegavam ser de agências estaduais de pedágio. ### Detalhes da Campanha Esta nova campanha começou há algumas semanas. Relatos surgiram de residentes de Nova York, Califórnia, Carolina do Norte, Illinois, Virgínia, Texas, Connecticut e Nova Jersey. Ao contrário de campanhas anteriores que incluíam uma mensagem de texto com links diretos para sites de phishing, esta nova variação inclui uma imagem de um suposto aviso judicial com um QR code incorporado. "Este aviso constitui um aviso final e urgente sobre uma infração de trânsito pendente envolvendo seu veículo registrado no Estado de Nova York", diz o falso aviso judicial, acrescentando que "Este assunto entrou agora na fase formal de execução".  A mensagem de texto compartilhada com o **BleepingComputer** afirma ser do "Tribunal Criminal da Cidade de Nova York", declarando que há uma multa de estacionamento ou pedágio não paga que deve ser paga imediatamente ou a pessoa deve comparecer ao tribunal. Incluem-se instruções para escanear um QR code para liquidar os saldos pendentes. ### Táticas de Phishing Escanear o QR code redireciona o alvo para um site intermediário que primeiro solicita que resolvam um CAPTCHA para provar que são humanos. O uso de QR codes e CAPTCHAs é projetado para dificultar a análise da campanha de phishing por softwares de segurança automatizados e pesquisadores. Resolver o CAPTCHA redireciona você para outro site de phishing que se passa pelo DMV do estado ou por outra agência, alegando que há um pedágio ou multa de estacionamento não paga. Em todos os exemplos vistos, este saldo pendente é de US$ 6,99. Por exemplo, sites de phishing que se passam pelo DMV de Nova York usam o nome de host "ny.gov-skd[.]org" ou "ny.ofkhv[.]life".  Clicar em continuar o levará a uma página onde você pode inserir suas informações pessoais e de cartão de crédito para pagar a suposta cobrança. Este formulário é usado para roubar seus dados, incluindo seu nome, endereço, número de telefone, endereço de e-mail e informações do cartão de crédito. ### Riscos e Mitigação Essas informações roubadas podem ser usadas para uma ampla variedade de atividades maliciosas, incluindo ataques de phishing subsequentes, fraude financeira, roubo de identidade e a venda de seus dados para outros atores de ameaças. Como regra geral, se você receber um texto de um número de telefone ou endereço de e-mail desconhecido solicitando o pagamento de uma conta, ignore-o. Agências estaduais declararam repetidamente em resposta a esses golpes que não usam mensagens de texto solicitando informações pessoais ou de pagamento.