Redazione MailSniper
Autore
Hai presente quei codici QR che trovi ovunque — al ristorante, sui biglietti da visita, nelle brochure? Bene, i cybercriminali hanno capito che funzionano benissimo anche nelle email di phishing. E il bello (per loro) e' che i filtri antispam tradizionali non riescono a leggerli.
Si chiama quishing — QR + phishing — ed e' cresciuto del 400% nell'ultimo anno. Non e' una moda passeggera. E' una tecnica che sfrutta un punto cieco enorme nella sicurezza email di quasi tutte le aziende.
Perche'? Perche' un codice QR e' un'immagine. E la maggior parte dei filtri email analizza testo e link testuali. Un URL scritto nel corpo dell'email viene controllato, confrontato con blacklist, analizzato in tempo reale. Un URL nascosto dentro un quadratino pixelato? Passa indisturbato.
L'anatomia di un attacco QR phishing e' disarmante nella sua semplicita'.
Fase 1 — L'email esca. Arriva un'email che sembra provenire da Microsoft, DocuSign, SharePoint, la banca aziendale o il reparto HR interno. Il testo dice qualcosa tipo: "Il tuo documento e' pronto per la firma. Scansiona il codice QR per accedervi" oppure "Verifica la tua identita' scansionando il QR code qui sotto".
Fase 2 — Il QR code. L'email contiene un'immagine con un codice QR. Nessun link cliccabile nel testo. Nessun allegato sospetto. Solo un'immagine apparentemente innocua.
Fase 3 — Lo smartphone. L'utente prende il telefono e scansiona il QR. Viene reindirizzato a una pagina di login identica a quella di Microsoft 365, Google Workspace o qualsiasi servizio venga impersonato.
Fase 4 — Il furto. L'utente inserisce username e password. Credenziali rubate. A volte anche il token MFA, se la pagina finta include un proxy in tempo reale.
La cosa subdola e' che tutto avviene sullo smartphone personale del dipendente — un dispositivo che nella maggior parte dei casi non e' protetto dal firewall aziendale, dal proxy, ne' dal gateway email. Il passaggio dall'email aziendale al telefono personale e' il momento in cui l'utente esce dalla rete di protezione.
Il quishing non e' un rischio teorico. Ecco tre scenari che si ripetono ogni settimana nelle aziende italiane.
Arriva un'email con branding DocuSign perfetto: logo, colori, layout identici. Oggetto: "Contratto in attesa della tua firma". Nel corpo dell'email, invece del solito pulsante "Rivedi documento", c'e' un QR code con la didascalia: "Scansiona per firmare dal tuo smartphone".
Il dipendente dell'ufficio acquisti lo scansiona. La pagina chiede le credenziali Microsoft 365 "per verificare l'identita'". Credenziali rubate. Nelle ore successive, l'attaccante accede alla casella email, imposta regole di inoltro nascoste e inizia a intercettare le comunicazioni con i fornitori.
Un'email interna (apparentemente dal reparto IT) avvisa che "la policy password e' stata aggiornata" e chiede di "confermare il tuo account scansionando il QR code allegato". La pagina di destinazione replica perfettamente il portale SharePoint aziendale.
Questo attacco e' particolarmente efficace perche' sembra provenire dall'interno dell'azienda. Chi sospetterebbe del proprio reparto IT?
Variante non-email ma sempre piu' diffusa: un QR code adesivo viene attaccato sopra quello legittimo su un parchimetro o su un avviso di pagamento. L'utente scansiona pensando di pagare la sosta e finisce su una pagina di pagamento fasulla. Questo dimostra che i criminali stanno investendo pesantemente nel canale QR.
Questo e' il punto cruciale. I filtri antispam tradizionali — incluso il filtro base di Microsoft 365 — analizzano le email cercando indicatori di minaccia ben precisi.
Cercano:
Ma un'email di quishing non ha niente di tutto questo. Non contiene URL nel testo — l'URL e' codificato nel QR, che per il filtro e' solo un'immagine JPEG o PNG. Non ha allegati pericolosi — un'immagine statica non e' un file eseguibile. Il testo e' pulito e professionale. L'IP mittente puo' essere legittimo (spesso usano account compromessi per inviare).
Risultato: l'email passa tutti i controlli e arriva nella inbox.
E' come avere un metal detector all'aeroporto che cerca solo oggetti metallici. Se qualcuno passa con un coltello in ceramica, il detector non suona. Non perche' il coltello non sia pericoloso, ma perche' il detector non e' progettato per cercarlo.
MailSniper, grazie alla tecnologia Libraesva, adotta un approccio diverso. Non si limita a cercare URL nel testo — analizza l'intera email come un oggetto multimediale.
Il motore di analisi di MailSniper include un decoder QR integrato. Ogni immagine contenuta nell'email viene scansionata automaticamente. Se contiene un codice QR, l'URL codificato viene estratto e analizzato con gli stessi 14+ livelli di controllo applicati ai link testuali.
In pratica, il QR code viene "aperto" dal gateway prima che l'email arrivi al destinatario. Se l'URL punta a una pagina di phishing, l'email viene bloccata. Se l'URL diventa malevolo nelle ore successive (deferred phishing), il time-of-click protection interviene al momento della scansione.
MailSniper non si ferma alla decodifica. Analizza anche il contesto.
Un'email che dice "Firma il contratto" e contiene un QR code invece di un normale link e' gia' sospetta di per se'. I servizi legittimi come DocuSign non inviano QR code — usano pulsanti con URL diretti. Questa anomalia comportamentale viene rilevata dall'AI e contribuisce allo score di rischio dell'email.
Il motore ML di Libraesva e' addestrato a riconoscere i pattern visivi tipici delle email di quishing: la combinazione di branding aziendale + QR code + testo urgente + assenza di link diretti e' un segnale forte. Anche se il QR punta a un dominio nuovo (non ancora in nessuna blacklist), il pattern visivo fa scattare l'allarme.
Il quishing non e' un fenomeno di nicchia. I numeri parlano chiaro:
Per testare quanto la tua azienda e' vulnerabile a questo tipo di attacco, prova il nostro simulatore di attacco phishing.
La prima difesa e' tecnica. Hai bisogno di un filtro email che sappia leggere i codici QR nelle immagini. Non tutti lo fanno. MailSniper lo fa, grazie al motore Libraesva.
Insegna al tuo team una regola semplice: nessun servizio legittimo chiede di scansionare un QR code da un'email. Mai. Se un'email contiene un QR code al posto di un link normale, e' un segnale d'allarme. Punto.
Se la tua azienda non usa QR code nelle comunicazioni interne (e probabilmente non lo fa), puoi creare una policy che segnala automaticamente ogni email interna contenente un'immagine QR.
L'autenticazione a due fattori via SMS o app non e' sufficiente contro gli attacchi avanzati che usano proxy in tempo reale. Considera l'uso di chiavi hardware FIDO2 per gli account piu' critici.
Dopo un attacco quishing riuscito, la prima cosa che fa l'attaccante e' impostare una regola di inoltro nascosta. Monitora regolarmente le regole di inoltro attive su tutte le caselle aziendali. MailSniper ti avvisa se rileva cambiamenti sospetti nelle mail rules.
Il QR code e' diventato uno strumento quotidiano. Lo usiamo al ristorante, in banca, nei negozi. E proprio questa familiarita' lo rende pericoloso. I dipendenti non ci pensano due volte prima di scansionarne uno.
I criminali lo sanno. E sfruttano questa fiducia per aggirare le difese tecniche e quelle umane contemporaneamente.
La buona notizia? Con la tecnologia giusta, il quishing si ferma. Il QR code viene decodificato, l'URL analizzato, l'email bloccata — prima che arrivi nella inbox.
Prossimi passi:
Redazione MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoIl fileless malware non lascia tracce su disco: vive in memoria, sfrutta PowerShell e macro VBA, e bypassa gli antivirus tradizionali. Ecco come arriva via email e come fermarlo.
LeggiUn attaccante compromette il tuo account e imposta una regola di inoltro invisibile. Anche dopo il cambio password, continua a leggere ogni tua email. Ecco come difenderti.
LeggiGli attacchi watering hole via email colpiscono siti web di settore per poi inviare email mirate alle vittime. Ecco come funzionano e come MailSniper ti protegge.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.