In den letzten Wochen ist ein Text-Botschaft Betrug mit einer Variation, die besondere Aufmerksamkeit verdient, wieder aufgetreten: die Betrüger senden angebliche "Non-compliance Notifications", die von staatlichen Gerichten oder Agenturen wie dem DMV kommen scheinen, und beinhalten einen QR-Code für das Opfer, um "auflösen" eine angeblich anhängige Gebühr. Hinter dem QR gibt es keine wirkliche Verpflichtung: Es gibt eine Falle entworfen, um persönliche und Bankdaten zu stehlen.
Die Modalität ist nicht ganz neu - erinnern Sie sich an die Wellen der Nachrichten auf Maut- und unbezahlten Geldstrafen, die sie Anfang 2025 zirkulierten - aber die Kriminellen haben kleine Veränderungen vorgenommen, die die Wahrscheinlichkeit des Erfolgs erhöhen. In dieser neueren Version enthält die Nachricht in der Regel ein Bild, das eine offizielle gerichtliche Mitteilung in alarmistischer Sprache simuliert, den Empfänger auffordert, den QR-Code zu "vermeiden Prozeduren" zu scannen oder "zu einem Publikum gehen". Der wirtschaftliche Haken ist bewusst klein: in gemeldeten Fällen ist der erforderliche Betrag nur 6.99 $, eine geringe Zahl für viele Menschen zu zahlen, ohne zu denken und Papierarbeit zu vermeiden, aber lukrativ genug, wenn es mit Tausenden von Opfern multipliziert wird.
Nach dem Scannen des Codes ist die Route absichtlich indirekt: Zuerst erreichen Sie eine Zwischenstelle, die fragt, um eine CAPTCHA zu lösen ", dass Sie kein Roboter sind." Dieser Schritt ist nicht unschuldig: CAPTCHA und die Zwischenverbindungen helfen, automatisierte Kontrollen zu entfernen und Sicherheitsanalysten zu untersuchen. Nach Abschluss dieser Überprüfung wird der Benutzer auf eine falsche Website umgeleitet, die die betreffende staatliche Agentur imitiert - zum Beispiel Websites, die versuchen, durch Transitbüros oder Fahrzeugabteilungen zu passieren. In den von spezialisierten Medien analysierten Beispielen hatten die verwendeten Domänen seltsame Formen, wie "ny.gov.skd [.] org" oder "ny.ofkhv [.] Leben", ein deutlicher Hinweis, dass sie nicht zu offiziellen Wesen gehören.
Der letzte Bildschirm fordert persönliche Informationen und Kreditkartendaten an, um die Geldstrafe zu bezahlen. Dieses Formular verarbeitet keine legitimen Zahlungen: Alles, was es tut, erfasst Ihren Namen, Telefon, Adresse, Post und Bankdaten für die Angreifer verwenden oder verkaufen. Mit diesen Elementen können sie Finanzbetrug, Identität supplanting begehen oder anspruchsvollere Phishing-Kampagnen gegen Sie und Ihre Kontakte starten.
Öffentliche Einrichtungen haben bereits mehrfach gewarnt, dass sie keine Zahlungen oder sensiblen Informationen durch Textnachrichten anfordern. Zum Beispiel hat das Büro des Gouverneurs von New York eine Warnung auf Nachrichtenkampagnen veröffentlicht, die E-ZPass und andere offizielle Dienste supplantierten; Sie können seine Erklärung auf der offiziellen Website des Staates lesen Hier.. Darüber hinaus bieten Verbraucherschutz-Referenzorganisationen praktische Anleitungen, um Phishing zu erkennen und zu vermeiden; die Federal Trade Commission (FTC) hält nützliche Ressourcen auf ihrer Seite: Wie erkennt und vermeidet Phishing Betrug. Und um technische Berichte und Analysen über diese Art von Kampagne zu sehen, dokumentieren Sicherheitsjournalisten sie oft in Medien wie BleepingComputer ( bleepingcomputer.com), die der Entwicklung dieser Betrügereien gefolgt ist.
Wenn Sie eine solche Nachricht erhalten, gibt es mehrere eindeutige Anzeichen, dass es ein Betrug sein könnte: der Absender erscheint nicht unter Ihren Kontakten, der Text appelliert an Angst oder Dringlichkeit, der angeforderte Betrag ist sehr gering und sie zwingen Sie, einen Link oder QR anstelle eines offiziellen Kanals zu verwenden. Wie auch immer das Formular, die goldene Regel ist die gleiche: Scannen Sie den Code nicht oder geben Sie persönliche oder finanzielle Daten auf Seiten, deren Ursprung nicht überprüft wurde. Wenn Sie Zweifel haben, suchen Sie direkt auf der offiziellen Website der Agentur (z.B. die DMV Seite Ihres Staates) oder rufen Sie die offizielle Nummer auf Ihrer Website an, um eine Benachrichtigung zu bestätigen.
Es ist auch angebracht, praktische Maßnahmen zu treffen: Überprüfen Sie Ihre Bankbewegungen, wenn Sie gekommen sind, zu zahlen, den Vorfall an Ihr Finanzinstitut zu kommunizieren, um die Karte bei Bedarf zu blockieren, und ändern Sie wichtige Passwörter, wenn Sie die gleichen Informationen in anderen Dienstleistungen verwendet haben. Um diese Betrügerei zu berichten, können Sie eine Beschwerde auf dem FTC-Portal einreichen ( Berichterstattung) und in den Vereinigten Staaten wird auch empfohlen, das FBI über den IC3 zu informieren ( Internet Kriminalität Zentrum)
Hinter dem technischen Detail - QR-Codes, CAPTCHA, falsche Domains - gibt es immer eine menschliche Strategie: den Empfänger zu handeln, ohne zu denken. Halten Sie ruhig, überprüfen Sie durch offizielle Kanäle und geben Sie niemanden Ihre Daten durch Nachricht sind die besten Verteidigungen. Wenn Sie Zweifel an der Richtigkeit einer Mitteilung haben, versuchen Sie, den genauen Namen der Kampagne oder Text in einer Suchmaschine zu suchen und offizielle Quellen zu konsultieren, bevor Sie etwas berühren; viele dieser Betrug sind bereits in den spezialisierten Medien und in den Warnungen der Behörden dokumentiert.
Die Technologie, die wir täglich nutzen, kann das Leben viel einfacher machen, aber es öffnet auch Türen für neuen Betrug. Der Schlüssel ist, den gemeinsamen Sinn mit grundlegenden digitalen Sicherheitsmustern zu kombinieren: Scannen Sie QR nicht von unbekannten Sendungen, geben Sie keine Daten in unverified Websites und melden Sie den Versuch, weniger Menschen in die gleiche Falle zu helfen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...