Foto: Klops.ru / Wikimedia Commons (CC BY-SA 4.0)
Prevaranti u SAD-u ponovno su prilagodili svoju taktiku i sada šalju lažne SMS poruke o navodnim prometnim prekršajima, ali ovaj put s novim detaljem: umjesto klasične poveznice, žrtve se potiče da skeniraju QR kod. Riječ je o kampanji koja se predstavlja kao službena obavijest sudova ili državnih tijela, a cilj joj je od korisnika izvući osobne i financijske podatke te naplatiti lažnu pristojbu od 6,99 dolara.
Prema izvješću BleepingComputera, ova je prijevara nova varijacija ranije raširenih kampanja vezanih uz cestarine i neplaćene parkirne kazne, koje su se pojavljivale tijekom 2025. godine. Za razliku od starijih poruka, koje su sadržavale tekst i izravnu poveznicu na phishing stranicu, nova verzija u poruku umeće sliku navodnog sudskog rješenja s ugrađenim QR kodom. Takve poruke, navodno poslane u ime sudova, pojavile su se među korisnicima u više saveznih država, uključujući New York, Kaliforniju, Sjevernu Karolinu, Illinois, Virginiju, Teksas, Connecticut i New Jersey.
Jedna od poruka koja je kružila predstavljala se kao obavijest „Criminal Court of the City of New York” i tvrdila da postoji neplaćena kazna za parkiranje ili cestarinu koju je potrebno odmah podmiriti, odnosno da se osoba mora pojaviti na sudu. Tekst je pritom dramatično upozoravao da je stvar ušla u „formalnu fazu provedbe”, što je tipičan primjer psihološkog pritiska kojim se žrtvu želi natjerati na brzu reakciju bez provjere autentičnosti poruke.
Skeniranje QR koda ne vodi odmah na stranicu za plaćanje, nego najprije na posredničku stranicu s CAPTCHA provjerom, kojom se od korisnika traži da dokaže kako je riječ o čovjeku. Prevaranti to očito koriste kako bi otežali rad sigurnosnim alatima i istraživačima koji pokušavaju automatski analizirati kampanju. Nakon uspješno riješene CAPTCHA provjere, korisnik se preusmjerava na drugu phishing stranicu koja se predstavlja kao državna DMV služba ili slična agencija i tvrdi da postoji neplaćena cestarina ili kazna za parkiranje.
U svim primjerima koje je BleepingComputer vidio, iznos je bio isti: 6,99 dolara. Iza te sitne, naizgled bezazlene svote stoji klasična shema krađe podataka. Kada korisnik nastavi proces, otvara se obrazac za unos osobnih podataka i podataka s kreditne kartice. Prikupljaju se ime, adresa, broj telefona, e-mail adresa i, na kraju, podaci o kartici, što napadačima daje materijal za daljnje phishing napade, financijsku prijevaru, krađu identiteta ili prodaju informacija drugim zlonamjernim akterima.
Primjeri phishing stranica pokazali su i specifične domene koje oponašaju državne servise, poput hostne imena „ny.gov-skd[.]org” i „ny.ofkhv[.]life” za lažne stranice povezane s New Yorkom. Upravo takve domene, koje na prvi pogled mogu djelovati uvjerljivo, dodatno otežavaju prepoznavanje prijevare, osobito na mobitelu gdje korisnici često ne proučavaju adresu stranice dovoljno pažljivo.
Sigurnosni stručnjaci zato ponovno upozoravaju na osnovno pravilo: poruke koje dolaze s nepoznatog broja ili e-mail adrese i traže hitnu uplatu treba ignorirati dok se ne provjere izravno kod službenog izvora. Državne institucije su više puta naglasile da ne traže putem SMS-a osobne ni podatke o plaćanju, a upravo ta činjenica ostaje jedna od najvažnijih obrana protiv ovakvih kampanja. Novi oblik prijevare pokazuje da napadači i dalje brzo mijenjaju metode kako bi ostali korak ispred filtara, sigurnosnih sustava i opreznijih korisnika.
Vezane vijesti
