Un codice QR innocuo nell'email. Lo scansioni con il telefono e finisci su un sito che ti ruba le credenziali. I filtri antispam tradizionali non vedono nulla perche' il link e' nascosto in un'immagine.
Il QR phishing (o quishing, da QR + phishing) e una tecnica di phishing che usa codici QR al posto dei classici link testuali nelle email. L'idea e semplice ma geniale: i filtri antispam analizzano il testo delle email alla ricerca di URL sospetti. Ma se il link e codificato dentro un'immagine QR, il filtro non lo vede.
Il risultato? L'email passa i controlli e arriva nella casella del dipendente. Lui la apre, vede un codice QR con un messaggio come “Scansiona per verificare il tuo account” o “Scansiona per vedere il documento”. Prende il telefono, scansiona il QR e finisce su un sito che sembra la pagina di login di Microsoft 365, Google o della sua banca. Inserisce le credenziali. Fine.
C'e un altro aspetto subdolo: scansionando il QR con lo smartphone, la vittima lascia il PC — dove ci sono i controlli di sicurezza aziendali — e passa al telefono personale, dove spesso non ci sono protezioni. L'attaccante sposta deliberatamente l'interazione su un dispositivo meno protetto.
Un attacco di quishing segue un percorso studiato per aggirare sia i filtri tecnici che il senso critico dell'utente:
L'attaccante invia un'email che sembra provenire da un servizio noto: Microsoft, il reparto IT aziendale, una banca, un corriere. L'email contiene poco testo e un codice QR ben visibile. Il messaggio invita a scansionare il codice per “verificare l'identita”, “aggiornare le credenziali” o “visualizzare un documento sicuro”.
I filtri antispam tradizionali cercano URL sospetti nel corpo dell'email. Ma il codice QR e un'immagine: il link e codificato nei pixel, non nel testo. Per il filtro, l'email contiene solo un'immagine allegata e qualche riga di testo innocuo. Nessun URL da analizzare, nessun allarme.
La vittima prende lo smartphone per scansionare il QR. A questo punto esce dal perimetro di sicurezza aziendale. Il telefono personale non ha il proxy web dell'azienda, non ha l'EDR, non ha le policy di navigazione. L'attaccante ha spostato la vittima su un dispositivo dove e piu vulnerabile.
Il QR porta a un sito clone che replica la pagina di login di Microsoft 365, Google Workspace o un altro servizio. Sullo schermo piccolo del telefono, l'URL sospetto e difficile da notare. La vittima inserisce username e password. L'attaccante le riceve in tempo reale e accede all'account — spesso prima ancora che la vittima si accorga di qualcosa.
aumento degli attacchi quishing dal 2023 al 2025 (fonte: Abnormal Security)
dei filtri email tradizionali non analizza i codici QR nelle immagini allegate
delle persone ha scansionato almeno un codice QR negli ultimi 12 mesi
I codici QR sono ovunque: menu dei ristoranti, biglietti, pagamenti. Siamo abituati a scansionarli senza pensarci. I criminali sfruttano questa abitudine e la trasportano nelle email aziendali. E il contesto fa il resto: se l'email sembra venire dal reparto IT, chi sospetterebbe di un codice QR?
“La tua sessione Microsoft 365 e scaduta. Scansiona il codice QR per riautenticarti e mantenere l'accesso alla tua casella.” Il QR porta a una pagina clone di login.microsoftonline.com. Le credenziali rubate danno accesso a email, Teams, SharePoint e OneDrive.
“Aggiornamento di sicurezza obbligatorio: scansiona questo codice QR dal tuo telefono per completare la verifica dell'identita.” Sembra un messaggio del reparto IT interno. Il QR porta a un sito che chiede le credenziali aziendali e il codice MFA.
“Hai un documento da firmare. Scansiona il codice QR per accedere a DocuSign e completare la firma.” Il QR porta a una pagina che imita DocuSign ma che ruba le credenziali dell'account aziendale usato per il login.
Mentre la maggior parte dei filtri email vede solo testo, MailSniper analizza anche le immagini. Ecco come interviene:
Scopri di piu su come funziona il nostro URL rewriting e perche e una difesa fondamentale anche contro il quishing.
Il quishing e una variante del phishing che usa codici QR al posto dei link testuali.
La tecnica che riscrive i link (anche quelli estratti dai QR) per farli passare dal proxy di sicurezza.
Come il quishing, lo smishing sposta l'attacco dal PC al telefono sfruttando un canale diverso.