Кіберзлочинці запустили нову хвилю фішингових атак, маскуючи SMS під повідомлення про порушення правил дорожнього руху. Головна зміна – замість звичних посилань тепер використовуються QR-коди, які ведуть жертв на підроблені сайти та допомагають обходити базові системи захисту.
Останнім часом шахраї вигадали ще один доволі хитрий спосіб обману, який виглядає максимально правдоподібно. Людям почали масово приходити SMS-повідомлення нібито від судів різних штатів США з гучною назвою «Повідомлення про невиконання зобов’язань». У тексті створюється відчуття терміновості: мовляв, у вас є порушення, і його потрібно негайно закрити. Для цього пропонують просто відсканувати QR-код і оплатити невеликий штраф – всього $6,99.
На перший погляд усе виглядає безневинно, але насправді за цим стоїть класичний фішинг. QR-код веде не на офіційний сайт, а на підроблену сторінку, де з людини виманюють особисті та фінансові дані.
Це не зовсім нова схема, а скоріше її еволюція. У 2025 році вже активно розсилалися подібні повідомлення про несплачені штрафи за паркування або проїзд, які маскувалися під державні сервіси. Тоді в них використовували звичайні посилання, а зараз шахраї зробили крок далі і перейшли на QR-коди, щоб обійти фільтри безпеки і виглядати ще переконливіше.
Перші випадки нової кампанії помітили кілька тижнів тому. Повідомлення отримували мешканці Нью-Йорка, але дуже швидко аналогічні SMS почали з’являтися і в інших штатах: Каліфорнії, Північній Кароліні, Іллінойсі, Вірджинії, Техасі, Коннектикуті та Нью-Джерсі. Це вже говорить про масштабність розсилки.
Як працює ця схема на практиці? Людині приходить повідомлення нібито від «Кримінального суду міста Нью-Йорк» із заявою, що у неї є неоплачений штраф. У тексті прямо натякають: або платіть зараз, або готуйтеся до суду. Далі дають інструкцію – відсканувати QR-код для швидкої оплати.
Після сканування користувач потрапляє не одразу на фішингову сторінку, а на проміжний сайт із CAPTCHA. Це робиться не просто так. Такий крок допомагає шахраям обійти автоматичні системи перевірки і виглядати більш «офіційно».
Як тільки людина проходить CAPTCHA, її перекидає на підроблений сайт, який копіює сторінки державних сервісів, наприклад DMV. Там уже показують знайому історію: є борг у $6,99, і його потрібно оплатити.
Далі все відбувається за класичним сценарієм. Натискаєш «Продовжити» – і тебе просять ввести свої дані:
ім’я та прізвище
адресу проживання
номер телефону та email
дані банківської картки
На цьому етапі шахраї отримують усе, що їм потрібно. І справа вже не в тих шести доларах. Ці дані можуть використовуватися для:
фінансового шахрайства
подальших фішингових атак
крадіжки особистості
продажу інформації іншим злочинцям
Важливо розуміти просту річ: державні установи не працюють таким чином. Вони не надсилають SMS із проханням оплатити штрафи через випадкові посилання чи QR-коди і точно не збирають платіжні дані через такі повідомлення.
Державні установи неодноразово заявляли у відповідь на ці шахрайські дії, що вони не використовують текстові повідомлення із запитами на особисту інформацію чи платіжну інформацію.
Тому якщо вам приходить подібне повідомлення з невідомого номера – найкраще рішення просто його проігнорувати. І якщо є сумніви, перевірити інформацію самостійно через офіційні сайти або сервіси.
І головне, що варто запам’ятати: коли вас намагаються підштовхнути до швидкої дії через страх або терміновість, це майже завжди сигнал, що перед вами шахрайство.
