6.99美元罰單騙局升級：9州車主收到"法院傳票"，掃碼即中招

去年收到過"欠費通知"短信的人，今年又成了目標(biāo)。只不過這次騙子把鏈接換成了二維碼，還附上了偽造的法院文件——成本不到7美元的心理陷阱，正在美國9個州批量收割車主信息。

從鏈接到二維碼：騙子的"產(chǎn)品迭代"

2025年初，DMV和E-ZPass釣魚短信曾席卷全美，加州、佛羅里達、紐約的司機被大量虛假欠費信息轟炸。據(jù)BleepingComputer最新報告，這輪騙局已蔓延至至少9個州：加州、康涅狄格、伊利諾伊、新澤西、北卡羅來納、弗吉尼亞、得州，Mashable還發(fā)現(xiàn)佐治亞州也成為目標(biāo)。

升級點很清晰：不再是光禿禿的鏈接，而是一張偽造的官方法院通知圖片，外加一個二維碼。通知用上了像模像樣的法律術(shù)語，警告收件人其車輛涉及"未結(jié)違規(guī)"，案件已進入"正式執(zhí)行階段"。掃碼即可結(jié)清欠款——每筆都是6.99美元，剛好低到讓人懶得核實。

掃碼后，受害者會先遇到一個CAPTCHA驗證，隨后被導(dǎo)向偽造的DMV網(wǎng)站，填寫姓名、地址、電話、信用卡信息。這些數(shù)據(jù)隨后被用于身份盜竊、金融詐騙，或直接轉(zhuǎn)賣給其他黑產(chǎn)鏈條。

去年版本的騙局依賴可點擊鏈接，安全軟件相對容易標(biāo)記攔截。嵌入圖片疊加CAPTCHA的設(shè)計，讓自動化系統(tǒng)和安全研究者更難追蹤識別。

6.99美元的定價心理學(xué)

BleepingComputer記錄的所有案例中，"欠款"金額鎖定在6.99美元。這個數(shù)字選得講究：低于10美元的心理賬戶閾值，多數(shù)人不會為這點錢專門打客服電話核實；又高于免費，讓"小額支付"顯得合理。

騙子在這里玩的是摩擦成本游戲。當(dāng)你收到一張6.99美元的"罰單"，核實真?zhèn)涡枰檎曳ㄔ弘娫挕⒌却斯た头⒚枋銮闆r——時間成本可能遠(yuǎn)超6.99美元。很多人選擇掃碼付款，圖個省事。

結(jié)果是用6.99美元換走你的全套身份信息。信用卡可以掛失，但姓名、地址、社保號的組合一旦泄露，后續(xù)幾年的釣魚電話、精準(zhǔn)詐騙、賬戶盜刷都會找上門。

各州政府的"被動防御"

今年3月，伊利諾伊州交通部發(fā)布警報，明確告知居民：聲稱欠交通罰款、過路費或其他費用的短信并非來自州政府。紐約等地的DMV機構(gòu)也反復(fù)強調(diào)：州政府不會通過短信收款或索要個人信息。

加州總檢察長Rob Bonta最近也發(fā)布了新聞稿警告居民。各州的反應(yīng)模式類似——騙局出現(xiàn)、媒體曝光、政府發(fā)警報——但始終慢半拍。

問題在于，這類警報的傳播半徑有限。不會主動搜索"交通罰款詐騙"的人，大概率刷不到政府公告；而收到短信的人，看到的是一張帶公章、有案號、語氣嚴(yán)厲的"法院文件"。

「如果你收到關(guān)于未付費、交通違規(guī)或法庭案件的未經(jīng)請求短信，無論看起來多么官方，都不要掃描、不要點擊、不要付款。」Bonta的警告總結(jié)得很干脆。替代方案是：直接聯(lián)系當(dāng)?shù)亟煌ǚㄍセ蛑軩MV，真正的罰單通常通過郵寄送達。

技術(shù)對抗的困境

二維碼在這類騙局中的角色值得細(xì)想。它解決了鏈接的幾個痛點：鏈接可以被文本分析工具識別關(guān)鍵詞，二維碼需要圖像識別；鏈接域名可以被黑名單攔截，二維碼指向的短鏈接可以頻繁更換；鏈接在短信中顯示完整URL，二維碼讓用戶"盲跳"到未知站點。

CAPTCHA的加入更是一層煙霧彈。普通用戶看到驗證碼，會下意識認(rèn)為這是正規(guī)網(wǎng)站的安全措施——畢竟真正的政府網(wǎng)站也用CAPTCHA。騙子借用這種認(rèn)知慣性，把安全機制反轉(zhuǎn)為信任背書。

對安全研究者來說，追蹤這類騙局需要手動掃碼、記錄跳轉(zhuǎn)鏈條、分析克隆網(wǎng)站，每一步都比掃描鏈接慢。這種時間差就是騙子的窗口期。

報告建議將可疑釣魚詐騙提交給FTC或FBI互聯(lián)網(wǎng)犯罪投訴中心。但現(xiàn)實中，多數(shù)人不會為沒造成實際損失的"未遂詐騙"花時間填表——這也解釋了為什么騙子可以反復(fù)使用同一套模板，只需更換州名和二維碼。

你最近一次收到"官方通知"短信是什么時候？有沒有因為金額太小而差點付款的經(jīng)歷？