美国法院警告：6.99美元罚单骗局3个月暴增400%，扫码就中招

去年你还在删"ETC欠费"短信，今年骗子已经学会伪造法院传票了。Bleeping Computer最新监测数据显示，一种植入二维码的虚假交通违章通知正在美国各州快速蔓延，受害者平均损失从6.99美元的小额"罚款"开始，最终往往被盗刷数千美元。

这种诈骗的狡猾之处在于它完美复制了政府公文的视觉语言。短信发件人显示为"State Court"或具体州名法院，正文以"NOTICE OF DEFAULT（违约通知）"开头，附带一个看似正规的案件编号。用户扫描二维码后，会被引导至一个高度仿真的支付页面，要求输入信用卡信息缴纳6.99美元的"行政处理费"。

网络安全公司Sekoia的研究人员追踪发现，该诈骗团伙的运营基础设施与2024年活跃的"假高速通行费"短信 campaign 高度重合。当时骗子冒充E-ZPass等收费系统发送欠费提醒，诱导用户点击钓鱼链接。升级到二维码版本后，攻击者成功绕过了部分短信安全过滤机制——因为纯文本短信中的恶意链接容易被识别，而二维码将URL隐藏为图像，增加了检测难度。

FBI网络犯罪投诉中心（IC3）在2024年年度报告中将此类攻击归类为"quishing"（二维码钓鱼），并指出其投诉量同比激增51%。更值得警惕的是，6.99美元这个定价经过精心设计：足够低到让人懒得核实真伪，又足够高到覆盖批量购买被盗信用卡信息的成本。

一条短信的完整解剖：骗子如何让你放下戒心

让我们拆解一条真实的诈骗短信样本。发件人ID被伪造成"StateCourt-AL"（阿拉巴马州法院），正文写道："您因未处理的交通违章已被登记违约。案件编号：AL-2024-78432。请于48小时内扫描下方二维码缴纳6.99美元处理费，以避免驾照吊销和额外法律费用。"

二维码指向的域名通常采用typosquatting技术，例如"statecourt-al.com"或"al-courtservices.net"，与官方网站仅差一两个字符。支付页面使用了从美国各州法院网站抓取的徽标、配色和版式，甚至包含虚假的SSL证书锁标。安全研究员MalwareHunterTeam在Twitter上发布的截图显示，部分钓鱼页面的精细程度足以骗过有法律背景的用户。

支付流程的设计同样充满心理操控。页面首先要求输入车牌号和违章日期——这些信息骗子其实没有，但表单会"智能"地接受任何输入。随后跳转至信用卡信息页，这里才是真正的攻击目标。部分变种还会在提交后显示"支付失败，请更换卡片重试"，诱导受害者输入第二张、第三张卡的信息。

Bleeping Computer从威胁情报源获取的数据显示，该诈骗活动自2024年11月起进入活跃期，在2025年1月至3月间达到峰值。攻击者采用了高度模块化的运营模式：同一套后端系统可以快速切换前端伪装，今天模仿佛罗里达州法院，明天就可能变成纽约州 DMV。

为什么二维码成了骗子的新宠

二维码的普及为攻击者创造了独特的攻击窗口。疫情期间养成的扫码习惯让公众对黑白方块的警惕性大幅降低——餐厅点餐、停车场缴费、健康码核验，这些日常场景训练出了近乎条件反射的扫码行为。骗子利用的正是这种行为惯性。

技术层面，二维码相比传统钓鱼链接有三大优势。第一，URL不可直视，用户无法像阅读文本链接那样快速识别异常域名。第二，二维码可以嵌入图片短信（MMS），绕过针对纯文本的过滤规则。第三，动态二维码允许攻击者实时更换后端URL，即使某个域名被封禁，已发送的短信仍然有效。

移动安全厂商Lookout的分析报告指出，2024年第四季度检测到的二维码钓鱼攻击中，67%针对金融凭证，23%针对企业登录凭据，交通违章类仅占约7%。但进入2025年后，后者的占比快速攀升至19%，显示出攻击者正在大规模复制这一模式。

美国各州政府的数字化进程也在无意中为骗局提供了素材。越来越多的州法院推出在线违章查询和缴费系统，官方短信通知成为常态，这模糊了真假边界。加利福尼亚州法院行政办公室在2025年2月专门发布声明，强调"本州法院不会通过短信发送二维码要求付款"，但这则声明的传播范围远不及诈骗短信本身。

识别与防御：比"不扫码"更现实的策略

完全拒绝扫码在现代社会已不具可行性。更务实的做法是建立分层验证机制。收到任何要求付款的短信后，第一步应直接访问官方网站——不是通过短信中的链接或二维码，而是手动输入已知域名或使用书签。以交通违章为例，各州 DMV 或法院网站通常设有专门的违章查询入口，输入车牌号即可核实是否存在未处理记录。

对于二维码本身，iOS和Android系统都提供了预览功能。长按二维码选择"预览链接"（iOS）或点击"显示链接"（Android），可以在不访问的情况下查看完整URL。检查域名时重点关注顶级域名前的部分：官方站点通常是".gov"结尾，而钓鱼站点多为".com"或".net"，且包含多余的连字符或单词。

信用卡层面，启用实时交易通知和单次虚拟卡号可以大幅降低损失。许多银行现在支持为在线交易生成一次性卡号，即使信息泄露也无法用于其他消费。6.99美元的"小额测试"是盗刷团伙的常用手段，发现任何不明小额扣款都应立即冻结卡片并联系发卡行。

企业安全团队需要关注的则是攻击的变种形态。Sekoia的报告提到，同一基础设施已被观察到发送"包裹滞留""税务退款"等主题的二维码钓鱼短信。攻击者正在将交通违章模式复制到其他涉及政府或物流服务的场景，利用相似的紧迫感和权威性诱导点击。

FBI在2025年3月的公众警报中特别强调了"quishing"的上升趋势，并建议收到可疑二维码的用户通过IC3.gov提交投诉。这些投诉数据直接影响执法资源的分配和域名查封的优先级。单个投诉看似微不足道，但聚合后的模式分析是追踪跨国诈骗团伙的关键。

技术对抗也在同步推进。Google Messages和Apple iMessage都已部署基于机器学习的二维码安全检测，对已知恶意域名发出警告。但攻击者的响应速度同样惊人：安全厂商Recorded Future观察到，部分钓鱼 campaign 的域名存活时间已缩短至4小时以内，采用快速轮换策略躲避黑名单。

这场攻防战的最终胜负可能取决于用户行为的微小改变。当6.99美元的"便利"与几秒钟的核实时间形成对比时，选择后者的人数比例，直接决定了这类诈骗的经济可行性。骗子精于计算投入产出比，而用户的集体警惕就是最昂贵的防御成本。

你最近一次扫码前，有没有先看一眼链接指向哪里？