QR Code phishing

詐欺師が全米の州裁判所を装い、交通違反の「不履行通知」メールを送りつけ、受信者にQRコードをスキャンするよう迫り、フィッシングサイトに誘導して6.99ドルの支払いを要求するとともに、個人情報や財務情報を盗み取っている。

これは、2025年に広く出回っていた、各州の料金徴収機関を名乗る通行料金違反や駐車違反の未払いチケット詐欺の新しいバリエーションである。

この新しいキャンペーンは数週間前に始まり、誰かがニューヨークの住民をターゲットにしたテキストを共有し、他の多くの人々がカリフォルニア、ノースカロライナ、イリノイ、バージニア、テキサス、コネチカット、ニュージャージーを含む他の州の同様のテキストをオンラインで報告している。

Wiz

テキスト・メッセージとフィッシング・サイトへのリンクが含まれていた以前のキャンペーンとは異なり、この新しいバリエーションには、代わりにQRコードが埋め込まれた裁判所通知の画像が含まれている。

「この通知は、ニューヨーク州内のあなたの登録車両に関する未解決の交通違反に関する最終的かつ緊急の警告です。

“この問題は現在、正式な執行段階に入った”

Fake court notice about traffic violations
交通違反に関する偽の裁判所通知
ソースは こちら:

共有されたテキスト・メッセージは、「ニューヨーク市の刑事裁判所」からのものであると主張し、未払いの駐車違反または通行料違反があり、直ちに支払わなければ裁判所に出頭しなければならないと述べている。未払いの残高を清算するためにQRコードをスキャンするよう指示が含まれている。

QRコードをスキャンすると、ターゲットにされた人は、まず自分が人間であることを証明するためのキャプチャを解くよう促される仲介サイトにたどり着く。QRコードとCAPTCHAは、自動化されたセキュリティ・ソフトウェアや研究者がフィッシング・キャンペーンを分析するのを難しくするために使用される。

CAPTCHAを解くと、州の陸運局や他の機関になりすまし、未払い料金や駐車違反があるとして、別のフィッシング・サイトにリダイレクトされる。今回確認されたすべての例では、この未払い残高は6.99ドルである。

例えば、ニューヨーク陸運局を装ったフィッシングサイトでは、ホスト名に「ny.gov-skd[.]org」や「ny.ofkhv[.]life」を使用しています。

Fake NY Department of Motor Vehicles phishing site
偽ニューヨーク自動車局のフィッシング・サイト
ソースは こちら:

続行をクリックすると、請求された料金を支払うための個人情報やクレジットカード情報を入力するページに移動します。

このフォームは、氏名、住所、電話番号、Eメールアドレス、そして最終的にはクレジットカード情報を含む、あなたのデータを盗むために使用されます。

この情報は、その後のフィッシング攻撃、金融詐欺、個人情報の盗難、他の脅威行為者へのデータの売却など、さまざまな悪意のある活動に使用される可能性があります。

一般的なルールとして、見知らぬ電話番号や電子メールアドレスから請求書の支払いを要求するメールを受け取った場合は、無視してください。

州政府機関は、このような詐欺に対して、個人情報や支払い情報を要求するテキストメッセージは使用しないと繰り返し述べています。

.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}

.ia_button {
width: 100%;
margin: 0px auto;
}
}


tines

自動ペンテストは6面のうち1面のみをカバーする。

自動ペンテストはパスの存在を証明する。BASは、あなたのコントロールがそれを止めるかどうかを証明します。ほとんどのチームは、一方を実行し、もう一方を実行しない。

このホワイトペーパーは、6つの検証サーフェスをマッピングし、どこでカバーが終了するかを示し、実務者にあらゆるツール評価のための3つの診断質問を提供します。