Nas últimas semanas, uma fraude por mensagens de texto com uma variação que merece especial atenção: os atiradores estão enviando supostas “Notificação de Incumprimento” que aparentam vir de tribunais estatais ou agências como o DMV, e incluem um código QR para que a vítima “resuelva” um suposto cargo pendente. Atrás desse QR não há nenhuma obrigação real: há uma armadilha desenhada para roubar dados pessoais e bancários.
A modalidade não é do todo novo — basta as ondas de mensagens sobre portagens e multas sem pagar que circularam no início de 2025 — mas os criminosos fizeram pequenas mudanças que aumentam a probabilidade de sucesso. Nesta versão mais recente, a mensagem geralmente contém uma imagem que simula um aviso oficial do tribunal com linguagem alarmista, instando o receptor a digitalizar o código QR para “evitar procedimentos” ou “audir a uma audiência”. O gancho econômico é deliberadamente pequeno: nos casos relatados a quantidade exigida é de apenas 6,99 dólares, um número bastante baixo para muitas pessoas pagarem sem pensar e evitar o papel, mas o bastante lucrativo quando se multiplica por milhares de vítimas.
Depois de digitalizar o código, a rota é intencionadamente indireta: primeiro chega a um lugar intermediário que pede resolver um CAPTCHA para “verificar que não é um robô”. Esse passo não é inocente: o CAPTCHA e os links intermediários ajudam a sortear controles automatizados e a dificultar a pesquisa por parte de analistas de segurança. Depois de completar essa verificação, o usuário é redireccionado a um site falso que imita a agência estatal correspondente, por exemplo, sites que tentam passar por escritórios de trânsito ou departamentos de veículos. Nos exemplos analisados por meios especialistas, os domínios utilizados tinham formas estranhas, como “ny.gov-skd[.]org” ou “ny.ofkhv[.]life”, indicação clara de que não pertencem a entidades oficiais.
No ecrã final, são solicitadas informações pessoais e os dados do cartão de crédito para “pagar” a multa. Esse formulário não processa pagamentos legítimos: o único que faz é capturar seu nome, telefone, endereço, correio e dados bancários para que os atacantes os usem ou vendam. Com esses elementos podem cometer fraude financeira, suplantação de identidade ou lançar campanhas de phishing mais sofisticadas dirigidas contra você e seus contatos.
As instituições públicas já avisaram repetidamente que não solicitam pagamentos ou informações sensíveis por mensagens de texto. Por exemplo, o escritório do governador de Nova Iorque publicou um alerta sobre campanhas de mensagem que suplantam E-ZPass e outros serviços oficiais; você pode ler seu comunicado na web oficial do estado aqui. Além disso, organizações de referência em proteção ao consumidor oferecem guias práticas para reconhecer e evitar o phishing; o Federal Trade Commission (FTC) mantém recursos úteis em sua página: Como reconhecer e evitar fraudes de phishing. E para ver relatórios e análises técnicas sobre este tipo de campanhas, os jornalistas de segurança costumam documentar em mídia como BleepingComputer ( bleepingcomputer.com), que seguiu a evolução destas fraudes.
Se receber uma mensagem assim, existem vários sinais claros que indicam que pode ser tratado de uma fraude: o remetente não figura entre os seus contactos, o texto apela ao medo ou à urgência, a quantidade solicitada é muito baixa e obrigam você a usar um link ou QR em vez de oferecer um canal oficial. Seja qual for a forma, a regra de ouro é a mesma: não digitalizar o código nem introduzir dados pessoais ou financeiros em páginas cuja origem não tenha sido verificada. Se você tiver dúvidas, navega diretamente no site oficial da agência (por exemplo, a página do DMV do seu estado) ou chama o número oficial que figura no seu site para confirmar qualquer notificação.
Também é conveniente tomar medidas práticas: verifique os seus movimentos bancários se você chegou a pagar, comunica o incidente ao seu banco financeiro para bloquear o cartão se necessário, e muda senhas importantes se você usou a mesma informação em outros serviços. Para denunciar essas fraudes, você pode apresentar queixa no portal do FTC ( reportfraud.ftc.gov) e, nos Estados Unidos, também é recomendável informar o FBI através do IC3 ( Internet Crime Complaint Center).
Por trás do detalhe técnico —códigos QR, CAPTCHA, domínios falsos — há sempre uma estratégia humana: apurar o receptor para agir sem pensar. Manter a calma, verificar por canais oficiais e não entregar a ninguém os seus dados por mensagem são as melhores defesas. Se, em algum momento, tiver dúvidas sobre a veracidade de uma notificação, teste a procurar o nome exato da campanha ou do texto em um buscador e consultar fontes oficiais antes de tocar nada; muitas dessas fraudes já aparecem documentadas nos meios especializados e nos alertas das autoridades.
A tecnologia que usamos cotidianamente pode facilitar muito a vida, mas também abre portas para enganos novos. A chave está em combinar senso comum com padrões básicos de segurança digital: não digitalizar o QR de remetentes desconhecidos, não introduzir dados em sites não verificados e relatar a tentativa de ajudar menos pessoas a cair na mesma armadilha.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...