محققان امنیت سایبری در مورد یک کمپین گسترده و مداوم فیشینگ پیامکی هشدار داده‌اند که از اواسط اکتبر ۲۰۲۴ کاربران جاده‌های عوارضی در ایالات متحده را برای سرقت مالی هدف قرار داده است. این حملات توسط چندین عامل تهدید با انگیزه مالی با استفاده از کیت فیشینگ توسعه‌یافته توسط “Wang Duo Yu” انجام می‌شود و سیستم‌های جمع‌آوری عوارض الکترونیکی آمریکا مانند E-ZPass را جعل می‌کند. پیامک‌ها و iMessage‌های جعلی در مورد عوارض پرداخت‌نشده ارسال شده و کاربران را به کلیک روی لینک‌های جعلی ترغیب می‌کند.

پس از کلیک روی لینک، قربانیان با چالش CAPTCHA جعلی مواجه شده و سپس به صفحات جعلی E-ZPass هدایت می‌شوند تا اطلاعات شخصی و مالی خود را وارد کنند. این کیت‌های فیشینگ توسط گروه جنایتکار سازمان‌یافته چینی به نام Smishing Triad نیز استفاده می‌شود که حملات گسترده‌ای علیه خدمات پستی در حداقل ۱۲۱ کشور انجام داده است. Wang Duo Yu که یک دانشجوی علوم کامپیوتر در چین است، این کیت‌ها را با قیمت‌های مختلف از ۲۰ تا ۵۰ دلار در کانال‌های تلگرام خود می‌فروشد و گروه مجرمان ادعا می‌کند بیش از ۶۰,۰۰۰ نام دامنه استفاده کرده‌اند.