Assim que as pessoas começam a entender como funciona um determinado tipo de golpe, os criminosos adotam novas táticas para continuar roubando dinheiro. Agora que as pessoas aprenderam a desconfiar de links em mensagens de texto, os golpistas mudaram a isca, e em 2026 o “novo link” costuma ser um código QR escondido dentro de um aviso falso.
A mais recente variante dos antigos golpes envolvendo pedágios não pagos e infrações de trânsito é especialmente sorrateira, pois parece mais oficial do que uma simples mensagem com um link. Em vez de um link comum, as vítimas recebem uma imagem de uma notificação de um tribunal ou órgão público e são instruídas a escanear o código QR para pagar uma multa relativamente baixa.
Essa pequena taxa faz parte do golpe. Parece tão barata que dá vontade de pagar na hora, e é exatamente por isso que o golpe funciona. Esses criminosos não querem que você pense muito sobre o assunto.
Os elementos básicos do roteiro nessas campanhas mais recentes são os mesmos: urgência, autoridade e um pagamento simbólico destinado a contornar a cautela.
O BleepingComputer relatou que os destinatários foram informados de que tinham uma infração de trânsito pendente e precisavam agir imediatamente, enquanto o Cyber Safety Watchdog destacou a evolução do golpe das multas rodoviárias.
Seja sobre pedágios, estacionamento ou infrações de trânsito, o importante é que a mensagem se faz passar por uma autoridade governamental e pressiona o alvo a tomar uma decisão precipitada, sem dar tempo para verificar nada.
Por que os códigos QR ajudam os golpistas
Os códigos QR oferecem aos golpistas uma camada adicional de dissimulação. Em vez de um link de texto visível, a vítima é levada a escanear um código incorporado em uma imagem, o que diminui as chances de uma análise imediata.
Os golpistas sabem que as pessoas já estão acostumadas a identificar links óbvios, domínios suspeitos e e-mails mal redigidos. Por isso, eles ocultam o conteúdo malicioso em imagens, avisos e códigos QR, e depois disfarçam tudo isso com a linguagem de órgãos oficiais.
Na campanha descrita pelo BleepingComputer, o código QR primeiro direcionava as vítimas a um site intermediário que exibia um desafio CAPTCHA e, em seguida, redirecionava-as para uma página de phishing que se fazia passar pelo Departamento de Veículos Motorizados ou por uma agência estadual semelhante.
Essa etapa adicional do CAPTCHA existe para retardar qualquer análise automatizada. O objetivo final é se passar por uma instituição confiável, criar uma sensação de urgência, cobrar uma pequena taxa e roubar os dados pessoais e financeiros na tela de pagamento.
Em ambas as campanhas, os sites falsos solicitam nomes, endereços, números de telefone, endereços de e-mail e dados de cartão de crédito. Uma vez inseridos esses dados, o golpe pode evoluir para roubo de identidade e fraude com cartão de crédito, e os dados podem ser revendidos a outros criminosos para a prática de novas fraudes.
O impacto dos golpes é enorme
O Relatório Anual do IC3 de 2025 do FBI deixa claro que as operações fraudulentas não são um episódio secundário; elas são o evento principal. O IC3 recebeu mais de um milhão de denúncias em 2025, e os prejuízos relatados ultrapassaram US$ 20,8 bilhões.
Somente o phishing e o spoofing foram responsáveis por quase 200 mil denúncias, enquanto a falsificação de identidade de órgãos governamentais totalizou 32.424 denúncias e quase US$ 800 milhões em perdas relatadas.
Esses números são importantes porque o golpe das portagens se insere diretamente no mesmo ecossistema do phishing, da falsificação de identidade e da fraude em pagamentos. Não se trata de um incômodo isolado. É um sinal claro de que a fraude cibernética faz parte de uma rede mais ampla de crime organizado.
Como se manter seguro
Os golpistas estão se adaptando aos nossos hábitos mais rápido do que se imagina. Sempre que uma medida de proteção se torna amplamente conhecida, os criminosos ajustam ligeiramente o método.
É por isso que essas mensagens devem ser tratadas com a mesma desconfiança que qualquer outro pedido não solicitado de dinheiro.
- Verifique o número de telefone de onde a mensagem de texto foi enviada. Alguns golpes eram fáceis de identificar porque vinham de números de telefone fora dos EUA.
- Procure o site em questão que supostamente cometeu a violação e compare o nome de domínio. Às vezes, há apenas uma pequena diferença, portanto, verifique com cuidado.
- Se você acredita que a infração é possível porque realmente passou por essa área, consulte o site oficial da empresa de pedágio ou ligue para o número do atendimento ao cliente.
- Se você decidiu pagar, verifique se recebeu a confirmação do pagamento. Os órgãos oficiais enviam uma confirmação após receberem o pagamento. Caso não receba essa confirmação, entre em contato com eles para verificar e tome as medidas necessárias se achar que pagou a golpistas. Entre em contato com seu banco imediatamente e com o Centro de Denúncias de Crimes na Internet do FBI (IC3) pelosite ic3.gov. Certifique-se de incluir o número de telefone de onde a mensagem foi enviada e o site mencionado na mensagem.
- Nunca entre em contato com o golpista de forma alguma. Qualquer reação fornece informações a ele, mesmo que seja apenas a confirmação de que o número de telefone está em uso.
- Se você receber uma mensagem suspeita, o Scam Guard pode ajudá-lo a identificar se uma mensagem de texto, e-mail ou outra forma de comunicação é uma fraude e orientá-lo durante todo o processo.
- Utilize proteção antimalware atualizada e em tempo real, que bloqueará domínios maliciosos conhecidos.
Vamos ser sinceros: uma janela anônima tem suas limitações.
Violações de dados, comércio na dark web, fraudes de crédito. Malwarebytes Identity Theft monitora tudo isso, avisa você rapidamente e inclui um seguro contra roubo de identidade.
