6.99美元罰單騙局升級：9州車主收到"法院傳票"，掃碼即中招

去年收到過"欠費通知"短信的人，今年又成了目標。只不過這次騙子把鏈接換成了二維碼，還附上了偽造的法院文件——成本不到7美元的心理陷阱，正在美國9個州批量收割車主信息。

從鏈接到二維碼：騙子的"產品迭代"

2025年初，DMV和E-ZPass釣魚短信曾席卷全美，加州、佛羅里達、紐約的司機被大量虛假欠費信息轟炸。據BleepingComputer最新報告，這輪騙局已蔓延至至少9個州：加州、康涅狄格、伊利諾伊、新澤西、北卡羅來納、弗吉尼亞、得州，Mashable還發現佐治亞州也成為目標。

升級點很清晰：不再是光禿禿的鏈接，而是一張偽造的官方法院通知圖片，外加一個二維碼。通知用上了像模像樣的法律術語，警告收件人其車輛涉及"未結違規"，案件已進入"正式執行階段"。掃碼即可結清欠款——每筆都是6.99美元，剛好低到讓人懶得核實。

掃碼后，受害者會先遇到一個CAPTCHA驗證，隨后被導向偽造的DMV網站，填寫姓名、地址、電話、信用卡信息。這些數據隨后被用于身份盜竊、金融詐騙，或直接轉賣給其他黑產鏈條。

去年版本的騙局依賴可點擊鏈接，安全軟件相對容易標記攔截。嵌入圖片疊加CAPTCHA的設計，讓自動化系統和安全研究者更難追蹤識別。

6.99美元的定價心理學

BleepingComputer記錄的所有案例中，"欠款"金額鎖定在6.99美元。這個數字選得講究：低于10美元的心理賬戶閾值，多數人不會為這點錢專門打客服電話核實；又高于免費，讓"小額支付"顯得合理。

騙子在這里玩的是摩擦成本游戲。當你收到一張6.99美元的"罰單"，核實真偽需要查找法院電話、等待人工客服、描述情況——時間成本可能遠超6.99美元。很多人選擇掃碼付款，圖個省事。

結果是用6.99美元換走你的全套身份信息。信用卡可以掛失，但姓名、地址、社保號的組合一旦泄露，后續幾年的釣魚電話、精準詐騙、賬戶盜刷都會找上門。

各州政府的"被動防御"

今年3月，伊利諾伊州交通部發布警報，明確告知居民：聲稱欠交通罰款、過路費或其他費用的短信并非來自州政府。紐約等地的DMV機構也反復強調：州政府不會通過短信收款或索要個人信息。

加州總檢察長Rob Bonta最近也發布了新聞稿警告居民。各州的反應模式類似——騙局出現、媒體曝光、政府發警報——但始終慢半拍。

問題在于，這類警報的傳播半徑有限。不會主動搜索"交通罰款詐騙"的人，大概率刷不到政府公告；而收到短信的人，看到的是一張帶公章、有案號、語氣嚴厲的"法院文件"。

「如果你收到關于未付費、交通違規或法庭案件的未經請求短信，無論看起來多么官方，都不要掃描、不要點擊、不要付款。」Bonta的警告總結得很干脆。替代方案是：直接聯系當地交通法庭或州DMV，真正的罰單通常通過郵寄送達。

技術對抗的困境

二維碼在這類騙局中的角色值得細想。它解決了鏈接的幾個痛點：鏈接可以被文本分析工具識別關鍵詞，二維碼需要圖像識別；鏈接域名可以被黑名單攔截，二維碼指向的短鏈接可以頻繁更換；鏈接在短信中顯示完整URL，二維碼讓用戶"盲跳"到未知站點。

CAPTCHA的加入更是一層煙霧彈。普通用戶看到驗證碼，會下意識認為這是正規網站的安全措施——畢竟真正的政府網站也用CAPTCHA。騙子借用這種認知慣性，把安全機制反轉為信任背書。

對安全研究者來說，追蹤這類騙局需要手動掃碼、記錄跳轉鏈條、分析克隆網站，每一步都比掃描鏈接慢。這種時間差就是騙子的窗口期。

報告建議將可疑釣魚詐騙提交給FTC或FBI互聯網犯罪投訴中心。但現實中，多數人不會為沒造成實際損失的"未遂詐騙"花時間填表——這也解釋了為什么騙子可以反復使用同一套模板，只需更換州名和二維碼。

你最近一次收到"官方通知"短信是什么時候？有沒有因為金額太小而差點付款的經歷？