Da dicembre 2025 gli esperti di Bitdefender Labs stanno monitorando una serie di campagne di smishing su scala globale che prendono di mira gli automobilisti con falsi avvisi di pedaggi non pagati, multe per sosta o infrazioni stradali. Le campagne, ancora attive ad aprile 2026, hanno prodotto oltre 79.000 messaggi truffa in 29.200 varianti uniche, distribuiti attraverso più di 31.900 URL dannosi nell'ambito di 40 campagne distinte in 12 paesi. I messaggi circolano in inglese, spagnolo, portoghese, francese e hindi e sono accomunati da temi e metodi di consegna simili.

Il meccanismo è uniforme. Il messaggio comunica un obbligo di pagamento urgente con una scadenza tra le 24 e le 72 ore e minaccia conseguenze crescenti fra cui more, sospensione della patente, procedimenti legali, in alcuni casi mandati di arresto. Il link a cui le potenziali vittime sono esortate a rivolgersi approda a siti che replicano graficamente portali governativi o di operatori autostradali, e qui vengono invitate a inserire dati della carta di credito, informazioni personali e, in certi casi, le credenziali bancarie. In India i messaggi spingono anche a scaricare APK malevoli che installano un trojan Android capace di profilare il dispositivo, raccogliere SMS, intercettare credenziali bancarie e gestire chiamate da remoto.

Le tecniche di evasione sono molteplici e sono pensate specificamente per i dispositivi mobili. Alcuni messaggi chiedono di rispondere con "Y" prima di aprire il link, per abilitare il link su iOS. Altri sostituiscono caratteri latini con omologhi cirillici per aggirare i filtri anti-spam basati su parole chiave. I link sono abbreviati o mascherati, i domini ruotano rapidamente così da scongiurare indagini e blocchi, e in diversi casi l'identità del mittente è nascosta e il messaggio appare all'interno di discussioni già esistenti sul dispositivo.

Il maggior numero di vittime si concentra negli Stati Uniti, con 17 sotto-campagne distinte e oltre 25.000 URL di phishing. In Canada la truffa evolve in un attacco a due stadi: inizia come avviso di parcheggio e termina con la raccolta delle credenziali e la compromissione dell'accesso al conto bancario. In Francia e Irlanda vengono impersonati gli operatori della locale società autostrade e telepedaggio. Un indicatore ricorrente identificato dai ricercatori è la menzione di una penale del 35% per il ritardo.

Il fenomeno non è nuovo, ma la scala è in crescita rapida. L'FBI ha registrato 59.271 denunce relative a truffe simili solo nel 2024. In presenza di messaggi di questo tipo, i ricercatori raccomandano di non aprire il link, non rispondere, verificare eventuali comunicazioni esclusivamente sui siti ufficiali degli enti citati, quindi cancellare e segnalare il messaggio.