美國法院警告：6.99美元罰單騙局3個月暴增400%，掃碼就中招

去年你還在刪"ETC欠費"短信，今年騙子已經學會偽造法院傳票了。Bleeping Computer最新監測數據顯示，一種植入二維碼的虛假交通違章通知正在美國各州快速蔓延，受害者平均損失從6.99美元的小額"罰款"開始，最終往往被盜刷數千美元。

這種詐騙的狡猾之處在于它完美復制了政府公文的視覺語言。短信發件人顯示為"State Court"或具體州名法院，正文以"NOTICE OF DEFAULT（違約通知）"開頭，附帶一個看似正規的案件編號。用戶掃描二維碼后，會被引導至一個高度仿真的支付頁面，要求輸入信用卡信息繳納6.99美元的"行政處理費"。

網絡安全公司Sekoia的研究人員追蹤發現，該詐騙團伙的運營基礎設施與2024年活躍的"假高速通行費"短信 campaign 高度重合。當時騙子冒充E-ZPass等收費系統發送欠費提醒，誘導用戶點擊釣魚鏈接。升級到二維碼版本后，攻擊者成功繞過了部分短信安全過濾機制——因為純文本短信中的惡意鏈接容易被識別，而二維碼將URL隱藏為圖像，增加了檢測難度。

FBI網絡犯罪投訴中心（IC3）在2024年年度報告中將此類攻擊歸類為"quishing"（二維碼釣魚），并指出其投訴量同比激增51%。更值得警惕的是，6.99美元這個定價經過精心設計：足夠低到讓人懶得核實真偽，又足夠高到覆蓋批量購買被盜信用卡信息的成本。

一條短信的完整解剖：騙子如何讓你放下戒心

讓我們拆解一條真實的詐騙短信樣本。發件人ID被偽造成"StateCourt-AL"（阿拉巴馬州法院），正文寫道："您因未處理的交通違章已被登記違約。案件編號：AL-2024-78432。請于48小時內掃描下方二維碼繳納6.99美元處理費，以避免駕照吊銷和額外法律費用。"

二維碼指向的域名通常采用typosquatting技術，例如"statecourt-al.com"或"al-courtservices.net"，與官方網站僅差一兩個字符。支付頁面使用了從美國各州法院網站抓取的徽標、配色和版式，甚至包含虛假的SSL證書鎖標。安全研究員MalwareHunterTeam在Twitter上發布的截圖顯示，部分釣魚頁面的精細程度足以騙過有法律背景的用戶。

支付流程的設計同樣充滿心理操控。頁面首先要求輸入車牌號和違章日期——這些信息騙子其實沒有，但表單會"智能"地接受任何輸入。隨后跳轉至信用卡信息頁，這里才是真正的攻擊目標。部分變種還會在提交后顯示"支付失敗，請更換卡片重試"，誘導受害者輸入第二張、第三張卡的信息。

Bleeping Computer從威脅情報源獲取的數據顯示，該詐騙活動自2024年11月起進入活躍期，在2025年1月至3月間達到峰值。攻擊者采用了高度模塊化的運營模式：同一套后端系統可以快速切換前端偽裝，今天模仿佛羅里達州法院，明天就可能變成紐約州 DMV。

為什么二維碼成了騙子的新寵

二維碼的普及為攻擊者創造了獨特的攻擊窗口。疫情期間養成的掃碼習慣讓公眾對黑白方塊的警惕性大幅降低——餐廳點餐、停車場繳費、健康碼核驗，這些日常場景訓練出了近乎條件反射的掃碼行為。騙子利用的正是這種行為慣性。

技術層面，二維碼相比傳統釣魚鏈接有三大優勢。第一，URL不可直視，用戶無法像閱讀文本鏈接那樣快速識別異常域名。第二，二維碼可以嵌入圖片短信（MMS），繞過針對純文本的過濾規則。第三，動態二維碼允許攻擊者實時更換后端URL，即使某個域名被封禁，已發送的短信仍然有效。

移動安全廠商Lookout的分析報告指出，2024年第四季度檢測到的二維碼釣魚攻擊中，67%針對金融憑證，23%針對企業登錄憑據，交通違章類僅占約7%。但進入2025年后，后者的占比快速攀升至19%，顯示出攻擊者正在大規模復制這一模式。

美國各州政府的數字化進程也在無意中為騙局提供了素材。越來越多的州法院推出在線違章查詢和繳費系統，官方短信通知成為常態，這模糊了真假邊界。加利福尼亞州法院行政辦公室在2025年2月專門發布聲明，強調"本州法院不會通過短信發送二維碼要求付款"，但這則聲明的傳播范圍遠不及詐騙短信本身。

識別與防御：比"不掃碼"更現實的策略

完全拒絕掃碼在現代社會已不具可行性。更務實的做法是建立分層驗證機制。收到任何要求付款的短信后，第一步應直接訪問官方網站——不是通過短信中的鏈接或二維碼，而是手動輸入已知域名或使用書簽。以交通違章為例，各州 DMV 或法院網站通常設有專門的違章查詢入口，輸入車牌號即可核實是否存在未處理記錄。

對于二維碼本身，iOS和Android系統都提供了預覽功能。長按二維碼選擇"預覽鏈接"（iOS）或點擊"顯示鏈接"（Android），可以在不訪問的情況下查看完整URL。檢查域名時重點關注頂級域名前的部分：官方站點通常是".gov"結尾，而釣魚站點多為".com"或".net"，且包含多余的連字符或單詞。

信用卡層面，啟用實時交易通知和單次虛擬卡號可以大幅降低損失。許多銀行現在支持為在線交易生成一次性卡號，即使信息泄露也無法用于其他消費。6.99美元的"小額測試"是盜刷團伙的常用手段，發現任何不明小額扣款都應立即凍結卡片并聯系發卡行。

企業安全團隊需要關注的則是攻擊的變種形態。Sekoia的報告提到，同一基礎設施已被觀察到發送"包裹滯留""稅務退款"等主題的二維碼釣魚短信。攻擊者正在將交通違章模式復制到其他涉及政府或物流服務的場景，利用相似的緊迫感和權威性誘導點擊。

FBI在2025年3月的公眾警報中特別強調了"quishing"的上升趨勢，并建議收到可疑二維碼的用戶通過IC3.gov提交投訴。這些投訴數據直接影響執法資源的分配和域名查封的優先級。單個投訴看似微不足道，但聚合后的模式分析是追蹤跨國詐騙團伙的關鍵。

技術對抗也在同步推進。Google Messages和Apple iMessage都已部署基于機器學習的二維碼安全檢測，對已知惡意域名發出警告。但攻擊者的響應速度同樣驚人：安全廠商Recorded Future觀察到，部分釣魚 campaign 的域名存活時間已縮短至4小時以內，采用快速輪換策略躲避黑名單。

這場攻防戰的最終勝負可能取決于用戶行為的微小改變。當6.99美元的"便利"與幾秒鐘的核實時間形成對比時，選擇后者的人數比例，直接決定了這類詐騙的經濟可行性。騙子精于計算投入產出比，而用戶的集體警惕就是最昂貴的防御成本。

你最近一次掃碼前，有沒有先看一眼鏈接指向哪里？