Una nuova tecnica di phishing usa caratteri di testo per costruire codici QR malevoli, che ingannano le soluzioni di sicurezza basate sull'analisi delle immagini.
Autore: Redazione SecurityOpenLab
Circola una nuova variante di attacchi di phishing via QR code: gli attaccanti costruiscono i codici QR usando caratteri di testo anziché immagini tradizionali, sfruttando la grafica ASCII per aggirare i sistemi di rilevamento che analizzano i file grafici allegati alle email. La tecnica è descritta in un post pubblicato il 21 maggio sul blog ufficiale di Kaspersky. Il contesto in cui si inserisce questa evoluzione è quello della crescita di cinque volte degli attacchi di phishing tramite QR code registrata nella seconda metà del 2025. Il ricorso ai QR code nelle email di phishing era già stato descritto dall'azienda in un precedente articolo, che analizzava la tecnica di incorporare il codice come immagine nel corpo del messaggio o negli allegati PDF. Vediamo in che cosa consiste il salto evolutivo.
Il pretesto è collaudato: la vittima riceve un'email apparentemente proveniente da un partner commerciale, che sostiene di contenere un documento riservato da firmare tramite DocuSign. Il messaggio invita a scansionare un QR code per accedere al documento; in realtà il QR rimanda a un sito fraudolento in cui è richiesto l’inserimento delle credenziali aziendali. La differenza rispetto alle campagne precedenti è che il codice QR è costruito interamente con elementi Unicode, disposti carattere per carattere nel codice HTML dell'email. Il risultato visivo è un QR code dall'aspetto anomalo, con linee visibilmente discontinue, ma comunque leggibile con i classici scanner presenti sugli smartphone. Il trucco è ideato per bypassare i sistemi di protezione e in particolare agli strumenti di analisi delle immagini, perché l'assenza di un file immagine rende il link malevolo invisibile.
Gli esperti di Kaspersky spiegano nel post ufficiale che l’idea di partenza degli attaccanti è sempre la stessa: nascondere gli URL nelle immagini per eludere la scansione dei link; semplicemente nascondono nello stesso modo i QR code nel testo. Detto questo, ci sono però degli elementi che dovrebbero destare sospetti alle potenziali vittime. Primo fra tutti il fatto che un QR code richiede l'inserimento di credenziali aziendali su un dispositivo mobile.
Al di là dell’awareness, Kaspersky raccomanda di adottare una soluzione per la sicurezza dei server di posta con capacità anti-phishing avanzate e di affiancare soluzioni di protezione endpoint su tutti i dispositivi usati per accedere a Internet. Inoltre, è caldeggiata una formazione per i dipendenti, mirata sulla security, con attenzione specifica alle tecniche di phishing più recenti.