Au cours des dernières semaines, une escroquerie de messagerie de texte avec une variation qui mérite une attention particulière a refait surface : les arnaqueurs envoient des « notifications de non-conformité » qui semblent provenir de tribunaux d'État ou d'organismes comme le DMV, et incluent un code QR pour que la victime « résolve » une accusation en instance. Derrière ce QR il n'y a pas d'obligation réelle: il y a un piège conçu pour voler des données personnelles et bancaires.
La modalité n'est pas entièrement nouvelle - rappelez-vous les vagues de messages sur les péages et les amendes impayées qu'ils ont circulés au début de 2025 - mais les criminels ont apporté de petits changements qui augmentent la probabilité de succès. Dans cette version plus récente, le message contient habituellement une image qui simule un avis officiel du tribunal en langage alarmiste, exhortant le récepteur à scanner le code QR pour « éviter les procédures » ou « aller à un public ». Le lien économique est délibérément petit: dans les cas signalés, le montant requis est seulement 6,99 $, un nombre assez faible pour que beaucoup de gens paient sans penser et éviter la paperasse, mais assez lucratif quand il est multiplié par des milliers de victimes.
Après avoir analysé le code, la route est intentionnellement indirecte : d'abord, vous atteignez un site intermédiaire qui demande à résoudre un CAPTCHA pour « vérifier que vous n'êtes pas un robot ». Cette étape n'est pas innocente : CAPTCHA et les liens intermédiaires aident à supprimer les contrôles automatisés et à rendre difficile l'enquête des analystes de sécurité. Après avoir effectué cette vérification, l'utilisateur est redirigé vers un faux site Web qui imite l'organisme d'État pertinent - par exemple, les sites qui tentent de passer par les bureaux de transit ou les départements de véhicules. Dans les exemples analysés par des médias spécialisés, les domaines utilisés avaient des formes étranges, comme «ny.gov.skd [.]org» ou «ny.ofkhv [.] vie», une indication claire qu'ils n'appartiennent pas à des entités officielles.
L'écran final demande des renseignements personnels et des détails de carte de crédit pour « payer » l'amende. Ce formulaire ne traite pas les paiements légitimes: tout ce qu'il fait est de capturer votre nom, téléphone, adresse, courrier et données bancaires pour que les attaquants utilisent ou vendent. Avec ces éléments, ils peuvent commettre des fraudes financières, supplanter l'identité ou lancer des campagnes d'hameçonnage plus sophistiquées dirigées contre vous et vos contacts.
Les institutions publiques ont déjà averti à plusieurs reprises qu'elles ne demandent pas de paiement ou d'information sensible par SMS. Par exemple, le bureau du gouverneur de New York a posté une alerte sur les campagnes de messages qui supplantaient E-ZPass et d'autres services officiels; vous pouvez lire sa déclaration sur le site officiel de l'État Voilà.. En outre, les organisations de référence pour la protection des consommateurs offrent des guides pratiques pour reconnaître et éviter l'hameçonnage; la Commission fédérale du commerce (FTC) dispose de ressources utiles sur sa page: Comment reconnaître et éviter l'hameçonnage. Et pour voir des rapports techniques et des analyses sur ce type de campagne, les journalistes de sécurité les documentent souvent dans des médias comme BleepingComputer ( bleepingcomputer.com), qui a suivi l'évolution de ces escroqueries.
Si vous recevez un tel message, il y a plusieurs signes évidents qu'il pourrait s'agir d'une arnaque : l'expéditeur n'apparaît pas parmi vos contacts, le texte appelle à la peur ou à l'urgence, le montant demandé est très faible et ils vous obligent à utiliser un lien ou un QR au lieu d'offrir un canal officiel. Quelle que soit la forme, la règle d'or est la même : ne pas scanner le code ou entrer des données personnelles ou financières sur des pages dont l'origine n'a pas été vérifiée. En cas de doute, consultez directement le site officiel de l'agence (p. ex. la page DMV de votre État) ou appelez le numéro officiel de votre site Web pour confirmer toute notification.
Il convient également de prendre des mesures pratiques: vérifier vos mouvements bancaires si vous êtes venu payer, communiquer l'incident à votre institution financière pour bloquer la carte si nécessaire, et changer des mots de passe importants si vous avez utilisé les mêmes informations dans d'autres services. Pour signaler ces fraudes, vous pouvez déposer une plainte sur le portail FTC ( Rapports) et, aux États-Unis, il est également recommandé d'informer le FBI par l'intermédiaire du CI3 ( Centre de la criminalité sur Internet).
Derrière le détail technique - codes QR, CAPTCHA, faux domaines - il y a toujours une stratégie humaine: hâter le receveur à agir sans penser. Restez calme, vérifiez par les canaux officiels et ne donnez à personne vos données par message sont les meilleures défenses. Si vous avez des doutes quant à la véracité d'une notification, essayez de rechercher le nom exact de la campagne ou du texte dans un moteur de recherche et consultez les sources officielles avant de toucher quoi que ce soit; beaucoup de ces escroqueries sont déjà documentées dans les médias spécialisés et dans les alertes des autorités.
La technologie que nous utilisons chaque jour peut rendre la vie beaucoup plus facile, mais elle ouvre également des portes à de nouvelles tromperies. La clé est de combiner le bon sens et les modèles de sécurité numérique de base: ne pas scanner QR d'expéditions inconnues, ne pas entrer de données dans des sites non vérifiés et signaler la tentative d'aider moins de personnes tombent dans le même piège.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...