Die neue Phishing-Kampagne nutzt eine raffinierte Mehrschicht-Struktur, um Opfer zur Preisgabe sensibler Informationen zu bringen. Alles beginnt mit einer SMS, die wie ein offizielles Schreiben des Gerichts wirkt. In einem textuellen Fall aus New York heißt es: “This notice constitutes a final and urgent warning regarding an outstanding traffic violation involving your registered vehicle within the State of New York. This matter has now entered the formal enforcement stage.” Die Nachricht wird vom “Criminal Court of the City of New York” ausgegeben und erinnert an ernsthafte rechtliche Konsequenzen.
Das Kernstück der Attacke ist ein eingebetteter QR-Code, den Nutzer scannen sollen, um die angebliche Verwarnung zu begleichen. Dieser technische Trick erfüllt mehrere Zwecke: Erstens erschwert ein QR-Code automatisierten Sicherheitssystemen die Analyse – im Gegensatz zu direkten Links können Security-Forscher die Ziele nicht einfach durch Web-Crawler erfassen. Zweitens erhöht die zusätzliche Handlung des Scannens die psychologische Überzeugungskraft.
Wer dem QR-Code folgt, gelangt zunächst auf eine Zwischenseite, die ein CAPTCHA-Verfahren nutzt – angeblich um zu verifizieren, dass es sich um einen echten Menschen handelt. Auch diese Maßnahme dient der Betrüger-Strategie: Sie erschwert die Automatisierung weiter und schafft zusätzliche Überzeugungsarbeit. Nach dem CAPTCHA folgt die Weiterleitung auf eine weitere Phishing-Seite, die sich als lokale Behörde – etwa die “New York DMV” – ausgibt.
Die gefälschten Domains sind dabei bewusst täuschend ähnlich gestaltet. Beispiele sind “ny.gov-skd.org” oder “ny.ofkhv.life” – Namen, die auf den ersten Blick vertrauenswürdig wirken. Auf dieser Seite wird das Opfer aufgefordert, persönliche Daten einzugeben: Name, Adresse, Telefonnummer, E-Mail-Adresse und schließlich Kreditkarteninformationen.
Die Betrüger haben diese Masche nicht ohne Grund entwickelt. Die Geldstrafe von 6,99 Dollar ist bewusst niedrig gewählt – klein genug, dass Nutzer nicht misstrauisch werden, aber ausreichend, um die Bank zu veranlassen, die Transaktion zu genehmigen. Mit den gestohlenen Daten können Kriminelle dann zu vielfältigen Straftaten übergehen: identitätsdiebstahl, Finanzbetrug, weitere Phishing-Attacken oder der Verkauf der Daten an andere Cyberkriminelle.
Expertinnen und Experten empfehlen eine einfache Regel: Regierungsbehörden fordern niemals per SMS oder E-Mail zur Bezahlung auf oder verlangen persönliche Daten. Wer eine solche Nachricht erhält, sollte sie ignorieren und die Behörde direkt kontaktieren – über offizielle, selbst recherchierte Telefonnummern oder Websites.