1. What is quishing in simple terms?

Quishing is a type of phishing attack that uses a QR Code instead of a regular link. When someone scans the QR Code, it can send them to a fake website designed to steal passwords, payment details, or other sensitive information. The term combines the words "QR Code" and "phishing."

2. What is the difference between phishing and quishing?

Traditional phishing uses clickable links in emails, text messages, or websites. Quishing hides the malicious link inside a QR Code. Both attacks have the same goal: tricking people into visiting a fake website. The main difference is that quishing uses a QR Code to hide the destination.

3. Can scanning a QR Code give you a virus?

Scanning a QR Code by itself does not install a virus. A QR Code simply directs your device to a destination, such as a website. The risk comes from what happens after the scan. If the QR Code leads to a malicious website, that site may try to steal your information or convince you to download harmful software.

4. Why is quishing so hard to detect?

Many security tools are designed to inspect links and text. A QR Code is an image, which can make it harder to analyze. Quishing attacks also often move users from a work computer to a personal phone. This can make it more difficult for organizations to monitor and block malicious activity.

5. What are common quishing attack examples?

Common examples include fake QR Code stickers placed over real QR Codes on parking meters, phishing emails that pretend to be Microsoft 365 account alerts, and fraudulent invoices that contain QR Codes leading to fake payment pages. In each case, the attacker uses a QR Code to hide a malicious website behind a seemingly normal request.

6. How can organizations protect themselves from quishing?

Organizations can reduce their risk by using email security tools that inspect QR Codes, enforcing strong MFA, limiting access to sensitive systems, and training employees to recognize QR Code scams. A clear incident response plan is also important so teams know what to do if someone scans a malicious QR Code or enters credentials on a fake website.

7. How can you spot a fake QR Code?

A fake QR Code often redirects users to a suspicious website that imitates a legitimate brand. Before entering any information, check that the website URL matches the brand's official domain. Be cautious if the page contains spelling mistakes, asks for sensitive information, or looks different from the company's usual branding.

Che cos'è il "quishing" (phishing tramite codice QR)?

Shanti Nair

Ultimo aggiornamento: June 10, 2026

Scansionare un codice QR è diventato comune quanto cliccare su un link. Le persone utilizzano i codici QR per pagare le bollette, accedere a servizi e condividere informazioni, e l’operazione richiede solitamente solo pochi secondi. Tuttavia, una singola scansione può talvolta portare a un sito web fasullo creato appositamente per rubare dati. È questa l’idea alla base degli attacchi di “quishing”.

Il quishing è una forma di phishing che utilizza i codici QR per indurre le persone a visitare siti web fraudolenti. Queste truffe prendono spesso di mira credenziali di accesso, informazioni di pagamento e conti aziendali.

Questa guida spiega come funziona il quishing, perché gli hacker lo usano e quali sono i gruppi più a rischio. Troverai anche consigli pratici per evitare le truffe più comuni e scoprirai come il quishing si inserisce nel dibattito più ampio sulla sicurezza dei codici QR.

Indice

Cos’è il quishing?
Il quishing in cifre: quanto sta crescendo rapidamente la minaccia
Come funziona un attacco di quishing
Perché il quishing aggira la sicurezza tradizionale delle e-mail
Esempi reali di quishing
Chi sono i bersagli più comuni degli attacchi di quishing?
Come proteggere la tua organizzazione dal quishing
Mantieni il controllo sui codici QR creati dalla tua azienda
Domande frequenti

Che cos’è il quishing?

Il quishing è un tipo di attacco di phishing che nasconde un URL dannoso all’interno dell’immagine di un codice QR anziché in un link testuale cliccabile. Il nome è una fusione tra “QR Code” e “phishing” e l’obiettivo è lo stesso di qualsiasi attacco di phishing: indirizzarti verso un sito web falso in modo che gli aggressori possano rubare le tue credenziali di accesso, installare malware o raccogliere i tuoi dati di pagamento.

Ciò che rende il quishing diverso è il metodo di consegna. L’URL dannoso è incorporato in un codice QR che viene letto dalla fotocamera del tuo telefono. Non si trova nel corpo di un’e-mail dove i filtri di sicurezza possono scansionarlo.

Secondo Keepnet, gli attacchi di quishing sono aumentati del 587% nel 2023, rendendo il phishing tramite codice QR una delle tecniche di phishing in più rapida crescita attualmente in uso.

Il quishing si affianca ad altri tre tipi di attacchi correlati nella famiglia del phishing.

Tipo di attacco	Vettore principale	Metodo di consegna	Strumento di sicurezza che normalmente lo intercetta	Perché il quishing lo elude
Phishing	E-mail	Link testuale cliccabile	Filtri di sicurezza delle e-mail e controlli sulla reputazione degli URL	N/A (linea di base)
Smishing	SMS	Messaggio di testo con link	Filtraggio da parte dell’operatore e strumenti di rilevamento delle minacce mobili	N/A
Vishing	Chiamata vocale	Chiamata telefonica con ingegneria sociale	Strumenti di screening dell’ID chiamante e di rilevamento delle frodi vocali	N/A
Quishing	E-mail, materiale stampato o superfici fisiche	Immagine del codice QR incorporata in un’e-mail, un PDF, un poster, una fattura o un cartello	Molti strumenti di sicurezza delle e-mail si concentrano su URL visibili, link e indicatori testuali	L’URL dannoso è nascosto all’interno di un’immagine di codice QR e viene spesso aperto su un dispositivo mobile separato al di fuori dei controlli di sicurezza dell’organizzazione

La tabella sopra riportata è importante perché il quishing sfrutta una lacuna che molte difese tradizionali contro il phishing non erano state originariamente progettate per affrontare. Invece di chiedere alle vittime di cliccare su un link visibile, gli aggressori nascondono la destinazione all’interno di un’immagine di codice QR. In molti casi, la scansione avviene quindi su un dispositivo mobile separato, al di fuori dei controlli di sicurezza che normalmente ispezionano il traffico web.

Gli attacchi di quishing si verificano più comunemente attraverso due canali.

Il primo è l’e-mail, dove un aggressore incorpora un codice QR in un messaggio, un allegato o un PDF e incoraggia il destinatario a scansionarlo.
Il secondo è il mondo fisico, dove un adesivo con un codice QR falso viene posto sopra uno legittimo su un parchimetro, un tavolo di un bar, un chiosco nella hall o una bacheca pubblica. Entrambi gli approcci si basano sullo stesso comportamento: la scansione di un codice senza prima verificare dove conduce.

Il quishing in cifre: quanto sta crescendo rapidamente la minaccia

L’aumento del quishing non è un rischio futuro. Sta già avvenendo su larga scala. Secondo un’analisi di Keepnet Labs, gli attacchi di quishing sono aumentati del 587% nel 2023, rendendo il phishing tramite codice QR una delle minacce informatiche in più rapida crescita degli ultimi anni.

Diverse altre statistiche indicano la stessa tendenza:

Solo nel primo trimestre del 2025 sono state rilevate 4,2 milioni di minacce basate sui codici QR.
L’89,3% degli attacchi basati su codici QR era finalizzato al furto delle credenziali di accesso.
Gli attacchi di quishing hanno preso di mira i dirigenti di alto livello 42 volte più spesso rispetto ai dipendenti non dirigenti.
Il 26% dei link dannosi inviati tramite e-mail era incorporato in codici QR anziché presentato come collegamenti ipertestuali tradizionali.
Microsoft riferisce di bloccare in media ogni settimana più di 18 milioni di email di phishing uniche contenenti un codice QR nel corpo del messaggio e circa 3 milioni di email di phishing con codice QR uniche al giorno.

I dati rivelano anche come operano gli aggressori. Quasi 9 attacchi su 10 basati su codici QR mirano al furto di credenziali, spesso indirizzando le vittime verso pagine di accesso fasulle che imitano marchi affidabili e strumenti aziendali. Secondo il rapporto sulle minacce via e-mail del primo semestre 2024 di Abnormal Security, i dirigenti sono un bersaglio privilegiato perché hanno accesso a sistemi sensibili, approvazioni finanziarie e dati aziendali.

Secondo la società di sicurezza informatica NordVPN, il 73% degli americani scansiona i codici QR senza verificarli e più di 26 milioni sono già stati reindirizzati a siti dannosi. Nascondendo la destinazione all’interno di un’immagine, gli aggressori possono incoraggiare le vittime a passare da un dispositivo di lavoro monitorato a un telefono personale, dove i controlli di sicurezza potrebbero essere più deboli.

La crescita del quishing segue da vicino quella dell’adozione dei codici QR. Menu contactless, pagamenti mobili, check-in agli eventi e procedure di autenticazione hanno reso la scansione dei codici QR una parte integrante della vita quotidiana. Man mano che la scansione è diventata un’abitudine consolidata, gli hacker hanno acquisito un nuovo modo per sferrare campagne di phishing senza ricorrere ai tradizionali link.

Come funziona un attacco di quishing

Un attacco di quishing si svolge in sei fasi. La falla di sicurezza critica si apre tra la fase tre e la fase quattro.

Fase 1: l’autore dell’attacco genera il codice QR dannoso

L’autore dell’attacco crea un codice QR che rimanda a un URL dannoso. Spesso si tratta di un sito per la raccolta di credenziali, una pagina di download di malware o un portale di pagamento falso. In questa fase gli autori degli attacchi possono utilizzare codici QR dinamici. Un codice QR dinamico memorizza la destinazione su un server anziché nel codice stesso. Ora l’autore dell’attacco può cambiare l’URL di destinazione dopo la distribuzione per evitare le liste nere degli URL.

Fase 2: incorporare il codice QR nell’esca

L’autore dell’attacco inserisce l’immagine del codice QR in formato PNG o JPG all’interno di un’e-mail di phishing. Una versione più sofisticata incorpora il codice in un allegato PDF, come una fattura, un documento delle risorse umane o una nota di conformità. Le immagini incorporate nei PDF vengono sottoposte a un controllo ancora meno rigoroso da parte degli scanner automatici.

Fase 3: L’e-mail supera i filtri di sicurezza aziendali

La vittima riceve l’e-mail su un laptop o un dispositivo aziendale. Gli strumenti standard di sicurezza e-mail scansionano il corpo dei messaggi alla ricerca di URL dannosi noti, link testuali sospetti e domini segnalati. Il codice QR è un’immagine. L’URL dannoso all’interno dell’immagine è invisibile ai filtri di analisi del testo. L’e-mail arriva nella posta in arrivo.

Fase 4: La vittima esegue la scansione con un telefono cellulare personale

L’e-mail invita il destinatario a scansionare il codice con il proprio telefono. L’esca potrebbe sostenere che il link è più comodo da usare su un dispositivo mobile, oppure simulare una procedura di reimpostazione dell’autenticazione a più fattori (MFA) che richiede l’uso di un telefono. La vittima prende il proprio dispositivo personale ed esegue la scansione.

Fase 5: il browser mobile apre la pagina di phishing

Il cellulare personale si trova al di fuori del perimetro di sicurezza aziendale. Il software di gestione dei dispositivi mobili (MDM) è assente sulla maggior parte dei dispositivi personali. La rete privata virtuale (VPN) aziendale non è attiva. Il browser segue l’URL decodificato e visualizza la pagina dell’autore dell’attacco.

Fase 6: Raccolta delle credenziali o installazione di malware

La vittima inserisce le credenziali nella pagina di accesso falsa, completa un pagamento falso o scarica un’app che sembra necessaria. L’autore dell’attacco acquisisce i dati.

Il pivot del dispositivo, ovvero il passaggio da un dispositivo aziendale a un telefono cellulare personale tra i passaggi tre e quattro, è la ragione strutturale per cui il quishing funziona laddove il phishing standard fallisce. L’attacco sfrutta due perimetri di sicurezza separati e nessuno dei due rileva l’intera catena.

📝Nota: la minaccia del quishing è un problema distinto dall’uso legittimo dei codici QR da parte delle aziende.

Un’azienda che crea codici QR per menu, eventi o documenti ha bisogno di un proprio framework di sicurezza. Il framework deve includere domini verificati, analisi delle scansioni e URL di destinazione controllati.

Di conseguenza, la sicurezza dei codici QR per le aziende va oltre la prevenzione delle truffe e include decisioni relative alla selezione della piattaforma, alla gestione dei codici e alle politiche di implementazione.

Perché il quishing aggira la sicurezza tradizionale delle e-mail

La maggior parte delle e-mail di phishing contiene un link cliccabile. Gli strumenti di sicurezza possono ispezionare quel link, verificarne la reputazione e bloccarlo se sembra sospetto. Il quishing funziona in modo diverso. Invece di inserire il link nell’e-mail, gli aggressori lo nascondono all’interno di un codice QR.

Ecco tre motivi per cui il quishing può essere più difficile da rilevare rispetto al phishing tradizionale.

1. L’URL dannoso è nascosto all’interno di un’immagine

Gli strumenti di sicurezza e-mail sono progettati per scansionare testo, link e domini. Un codice QR è un’immagine, quindi l’URL di destinazione potrebbe non apparire in nessuna parte del testo visibile dell’e-mail.

I fornitori di soluzioni di sicurezza utilizzano ora l’analisi delle immagini per rilevare queste minacce. Ad esempio, Microsoft riferisce di bloccare circa 1,5 milioni di attacchi basati su codici QR al giorno. Tuttavia, non tutti gli strumenti di sicurezza e-mail dispongono dello stesso livello di rilevamento dei codici QR.

2. La scansione avviene spesso su un dispositivo diverso

Molte persone scansionano i codici QR con i loro telefoni, anche quando l’e-mail arriva su un computer di lavoro.

Quando un dipendente fa clic su un link dal laptop aziendale, gli strumenti di sicurezza spesso riescono a ispezionare e monitorare tale attività. Ma quando la stessa persona scansiona un codice QR con il proprio telefono personale, la visita potrebbe avvenire al di fuori dei normali controlli di sicurezza dell’organizzazione. Questo offre agli aggressori un altro percorso per raggiungere il loro obiettivo.

3. Gli aggressori possono modificare la destinazione di un codice QR

Alcune campagne di quishing utilizzano codici QR dinamici. Un codice QR dinamico punta a una destinazione che può essere aggiornata in un secondo momento. Ciò consente agli aggressori di modificare l’URL finale dopo che il codice QR è già stato consegnato. In alcuni casi, possono utilizzare inizialmente una destinazione innocua e passare successivamente a una dannosa, rendendo più difficile il rilevamento.

Il risultato è semplice: un’e-mail di phishing che contiene un link dannoso visibile è spesso più facile da analizzare per gli strumenti di sicurezza. Un codice QR nasconde quella destinazione dietro un’immagine e aggiunge ulteriori passaggi tra la vittima e il sito web dannoso.

Esempi reali di quishing

Gli attacchi di quishing possono verificarsi ovunque si utilizzino i codici QR. Alcuni arrivano tramite e-mail, mentre altri compaiono su cartelli, manifesti e terminali di pagamento in luoghi pubblici. Gli esempi riportati di seguito mostrano come gli aggressori utilizzino i codici QR per nascondere siti web dannosi dietro una semplice scansione.

Truffa dei parchimetri di Austin (2022)

Nel 2022, i truffatori hanno apposto adesivi con codici QR falsi su 29 parchimetri in tutta Austin, in Texas. Gli automobilisti hanno scansionato i codici per pagare il parcheggio, ma i codici QR rimandavano invece a un sito web di pagamento fraudolento. Chiunque inserisse i propri dati di pagamento rischiava di fornire tali informazioni direttamente ai truffatori.

L’attacco ha funzionato perché gli adesivi falsi sembravano autentici. La maggior parte degli automobilisti non aveva motivo di sospettare che i codici QR originali fossero stati sostituiti.

Truffe relative alla verifica dell’account Microsoft 365

Molte e-mail di phishing si spacciano per Microsoft 365. Il messaggio potrebbe affermare che la tua password sta per scadere, che il tuo account necessita di verifica o che le tue impostazioni MFA devono essere aggiornate.

Invece di includere un link, l’e-mail chiede di scansionare un codice QR. Il codice QR apre quindi una pagina di accesso Microsoft falsa progettata per rubare nomi utente e password. Alcune campagne tentano anche di acquisire informazioni sulla sessione che aiutano gli aggressori ad accedere agli account.

Poiché l’URL dannoso è nascosto all’interno del codice QR, a prima vista l’e-mail può sembrare più sicura di un tradizionale messaggio di phishing.

Truffe relative a fatture e pagamenti

Le aziende sono un altro bersaglio comune. In questi attacchi, i truffatori inviano e-mail che sembrano fatture, richieste di pagamento o estratti conto provenienti da un fornitore di fiducia.

L’e-mail contiene un codice QR falso che presumibilmente rimanda ai dettagli di pagamento o ai documenti di supporto. Dopo aver scansionato il codice QR, la vittima viene reindirizzata su un sito web falso e le viene chiesto di inserire informazioni di pagamento, dati bancari o credenziali dell’account. L’obiettivo è rubare denaro, informazioni sensibili o ottenere l’accesso ai sistemi aziendali.

Un tema comune a questi attacchi è la fiducia. Le persone si aspettano che i parchimetri, le pagine di accesso di Microsoft e le fatture dei fornitori siano legittimi. Gli aggressori sfruttano questa fiducia nascondendo siti web dannosi dietro i codici QR. Gli attacchi con sovrapposizione fisica sono particolarmente efficaci perché un adesivo con un codice QR falso può mimetizzarsi in un cartello, un menu, un chiosco o una stazione di pagamento altrimenti legittimi.

La sfida per gli utenti è capire se un codice QR è sicuro prima di scansionarlo. Comprendere questa differenza significa innanzitutto sapere se i codici QR sono sicuri e quali misure è possibile adottare per verificare una destinazione prima di aprirla.

Chi sono i bersagli più comuni degli attacchi di quishing?

Gli hacker non prendono di mira tutti allo stesso modo. Si concentrano su settori che gestiscono denaro, informazioni sensibili o grandi quantità di documenti. Prendono di mira anche i dipendenti il cui lavoro prevede l’approvazione di pagamenti, la gestione di conti o la revisione di richieste.

Settori presi di mira dagli attacchi di quishing

Settore	Esca comune tramite codice QR
Energia	Fatture dei fornitori, documenti di conformità, richieste dei fornitori
Servizi finanziari	Verifica del conto, approvazioni di pagamento, documenti protetti
Produzione	Documenti di spedizione, fatture dei fornitori, richieste di approvvigionamento
Assicurazioni	Documenti assicurativi, accessi al portale clienti, verifica dell’account
Tecnologia	Reimpostazione MFA, condivisione di documenti, download di software

Questi settori hanno una cosa in comune: molti dipendenti lavorano regolarmente con fatture, moduli, approvazioni e notifiche relative agli account. Gli autori degli attacchi sfruttano questi flussi di lavoro quotidiani creando codici QR dannosi che sembrano normali comunicazioni aziendali.

Ruoli comunemente presi di mira dagli attacchi di quishing

Sebbene alcuni settori siano esposti a rischi maggiori, gli hacker spesso prendono di mira dipendenti specifici che hanno accesso a denaro, dati sensibili o sistemi aziendali importanti.

Dirigenti

I dirigenti sono tra i gruppi più presi di mira. Secondo Abnormal Security, i dirigenti di alto livello ricevono 42 volte più attacchi di quishing rispetto agli altri dipendenti. Gli hacker usano spesso richieste urgenti, documenti di approvazione o avvisi di verifica dell’account perché i dirigenti hanno accesso a informazioni sensibili e sistemi finanziari.

Team finanziari

Il personale finanziario è un bersaglio comune per le frodi relative alle fatture e ai pagamenti. Il loro lavoro richiede loro di esaminare le fatture, approvare i pagamenti e collaborare con i fornitori. Gli hacker lo sanno e spesso mascherano i codici QR dannosi come richieste di pagamento o documenti finanziari.

Team IT

I dipendenti IT si occupano regolarmente di reimpostazione delle password, aggiornamenti MFA e avvisi di sicurezza. Le e-mail di quishing spesso copiano questi messaggi e utilizzano codici QR per indirizzare le vittime verso pagine di accesso false.

Team delle risorse umane

Il personale delle risorse umane lavora con curriculum, moduli di inserimento, documenti relativi ai benefici e registri dei dipendenti. Gli aggressori possono mascherare le e-mail di quishing come documenti di assunzione o richieste dei dipendenti per ottenere l’accesso ai sistemi aziendali.

Lavoratori in prima linea e sul campo

I dipendenti di magazzini, fabbriche, negozi al dettaglio e altre sedi fisiche affrontano un rischio diverso. Gli aggressori possono apporre adesivi con codici QR falsi su attrezzature, chioschi, cartelli o terminali di pagamento che i lavoratori utilizzano quotidianamente.

Il filo conduttore di tutti questi obiettivi è la fiducia. Gli hacker cercano situazioni in cui la scansione di un codice QR sembri normale. Più il flusso di lavoro è familiare, più è probabile che qualcuno esegua prima la scansione e faccia domande solo in un secondo momento.

Come proteggere la vostra organizzazione dal quishing

Il quishing funziona perché gli hacker nascondono link dannosi all’interno dei codici QR e convincono le persone a scansionarli. Per ridurre il rischio, le organizzazioni hanno bisogno di difese che coprano sia la sicurezza delle e-mail che quella dei codici QR. I sei controlli riportati di seguito possono essere d’aiuto.

1. Utilizza strumenti di sicurezza e-mail in grado di ispezionare i codici QR

I filtri di posta elettronica tradizionali sono progettati per scansionare link e testo. Gli attacchi di quishing nascondono la destinazione all’interno dell’immagine di un codice QR.

I moderni strumenti di sicurezza e-mail sono in grado di decodificare i codici QR presenti nelle e-mail e negli allegati, per poi verificare se la destinazione è sicura. Senza questa funzionalità, i codici QR dannosi potrebbero superare i controlli di sicurezza senza essere individuati.

Gli standard di autenticazione delle e-mail come DMARC, SPF e DKIM sono ancora importanti, ma verificano solo il mittente. Non ispezionano il codice QR stesso.

2. Rafforzare la protezione dell’account con l’autenticazione a più fattori (MFA) resistente al phishing

Molti attacchi di quishing mirano a rubare nomi utente e password. Un’autenticazione a più fattori (MFA) robusta riduce il rischio che una password rubata porti alla compromissione dell’account.

Quando possibile, utilizzare metodi resistenti al phishing come chiavi di sicurezza o passkey. Questi metodi rendono molto più difficile per gli aggressori accedere agli account, anche se un dipendente inserisce la propria password su un sito web falso.

3. Limitare ciò a cui possono accedere gli account compromessi

Nessun controllo di sicurezza è perfetto. Le organizzazioni dovrebbero partire dal presupposto che alcuni attacchi alla fine avranno successo.

Limitare l’accesso in base alle responsabilità lavorative aiuta a ridurre i danni. Se gli aggressori ottengono l’accesso a un account, non dovrebbero essere in grado di muoversi liberamente tra sistemi, dati e applicazioni.

4. Formare i dipendenti a riconoscere le truffe tramite codici QR

La maggior parte dei programmi di sensibilizzazione alla sicurezza si concentra sui link sospetti. I dipendenti dovrebbero anche imparare come funziona il quishing.

La formazione dovrebbe coprire i segnali di allarme più comuni, come codici QR inaspettati nelle e-mail, richieste urgenti di verifica dell’account e adesivi con codici QR apposti su cartelli o terminali di pagamento esistenti.

5. Includere il quishing nei programmi di sicurezza e conformità

Le agenzie federali, tra cui la Federal Trade Commission (FTC), il Federal Bureau of Investigation (FBI) e la Cybersecurity and Infrastructure Security Agency (CISA), hanno tutte messo in guardia dal phishing tramite codici QR.

Le organizzazioni dovrebbero rivedere le loro politiche di sicurezza esistenti e assicurarsi che il quishing sia incluso nella formazione dei dipendenti, nelle valutazioni dei rischi e nelle procedure di risposta agli incidenti. Ciò è particolarmente importante per i settori regolamentati che già seguono i quadri normativi in materia di sicurezza informatica e conformità.

6. Creare un piano di risposta per gli incidenti sui dispositivi mobili

Molti attacchi di quishing spostano gli utenti da un dispositivo di lavoro a un telefono personale.

Le organizzazioni dovrebbero disporre di un processo chiaro per indagare sulle segnalazioni di scansioni di codici QR dannosi, identificare gli account esposti, reimpostare le credenziali e monitorare le attività sospette.

Il quishing differisce dal phishing tradizionale perché nasconde link dannosi all’interno dei codici QR e spesso reindirizza gli utenti da un dispositivo aziendale a un telefono personale. Queste tattiche possono rendere gli attacchi più difficili da rilevare e ridurre l’efficacia dei controlli di sicurezza progettati per ispezionare i link testuali e i contenuti delle e-mail.

Con la continua crescita dell’uso dei codici QR, le organizzazioni devono considerare il quishing come un rischio per la sicurezza a sé stante. Le aziende che combinano una sicurezza e-mail sensibile ai codici QR, un’autenticazione a più fattori (MFA) robusta, la formazione dei dipendenti e procedure di risposta chiare sono meglio preparate a prevenire gli attacchi e a limitare i danni nel caso in cui uno di essi abbia successo.

Mantieni il controllo sui codici QR creati dalla tua azienda

Non tutti i codici QR rappresentano una minaccia. Le aziende utilizzano i codici QR ogni giorno per pagamenti, documenti, esperienze dei clienti e flussi di lavoro operativi. La sfida consiste nell’assicurarsi che gli utenti possano fidarsi della destinazione a cui conducono tali codici QR.

The QR Code Generator (TQRCG) aiuta le aziende a creare codici QR tracciabili, modificabili e collegati a destinazioni verificate. Ciò offre alle organizzazioni una maggiore visibilità su come vengono utilizzati i loro codici QR e dove indirizzano gli utenti.

TQRCG supporta inoltre i requisiti di sicurezza dell’enterprise e attraverso le certificazioni SOC 2 Tipo 2 e ISO 27001, nonché la conformità al GDPR. In combinazione con funzionalità quali il tracciamento delle scansioni e la gestione degli URL di destinazione, questi controlli aiutano le aziende a mantenere una maggiore sicurezza dei codici QR, riducendo al contempo il rischio di uso improprio.

Domande frequenti

1. Che cos’è il quishing in termini semplici?

Il quishing è un tipo di attacco di phishing che utilizza un codice QR al posto di un normale link. Quando qualcuno scansiona il codice QR, può essere reindirizzato a un sito web falso progettato per rubare password, dettagli di pagamento o altre informazioni sensibili. Il termine combina le parole “QR Code” e “phishing”.

2. Qual è la differenza tra phishing e quishing?

Il phishing tradizionale utilizza link cliccabili presenti in e-mail, messaggi di testo o siti web. Il quishing nasconde il link dannoso all’interno di un codice QR. Entrambi gli attacchi hanno lo stesso obiettivo: indurre le persone a visitare un sito web falso. La differenza principale è che il quishing utilizza un codice QR per nascondere la destinazione.

3. La scansione di un codice QR può causare l’infezione da un virus?

La scansione di un codice QR di per sé non installa un virus. Un codice QR indirizza semplicemente il dispositivo verso una destinazione, ad esempio un sito web. Il rischio deriva da ciò che accade dopo la scansione. Se il codice QR porta a un sito web dannoso, tale sito potrebbe tentare di rubare le informazioni dell’utente o convincerlo a scaricare software dannoso.

4. Perché il quishing è così difficile da individuare?

Molti strumenti di sicurezza sono progettati per ispezionare link e testo. Un codice QR è un’immagine, il che può renderne più difficile l’analisi. Gli attacchi di quishing spesso spostano gli utenti da un computer di lavoro a un telefono personale. Ciò può rendere più difficile per le organizzazioni monitorare e bloccare le attività dannose.

5. Quali sono gli esempi più comuni di attacchi di quishing?

Esempi comuni includono adesivi con codici QR falsi posizionati sopra codici QR reali sui parchimetri, e-mail di phishing che fingono di essere avvisi dell’account Microsoft 365 e fatture fraudolente che contengono codici QR che portano a pagine di pagamento false. In ogni caso, l’autore dell’attacco utilizza un codice QR per nascondere un sito web dannoso dietro una richiesta apparentemente normale.

6. In che modo le organizzazioni possono proteggersi dal quishing?

Le organizzazioni possono ridurre il rischio utilizzando strumenti di sicurezza e-mail che ispezionano i codici QR, applicando un’autenticazione a più fattori (MFA) forte, limitando l’accesso ai sistemi sensibili e formando i dipendenti a riconoscere le truffe tramite codici QR. È importante anche disporre di un piano di risposta agli incidenti chiaro, in modo che i team sappiano cosa fare se qualcuno scansiona un codice QR dannoso o inserisce le credenziali su un sito web falso.

7. Come si può individuare un codice QR falso?

Un codice QR falso spesso reindirizza gli utenti a un sito web sospetto che imita un marchio legittimo. Prima di inserire qualsiasi informazione, controlla che l’URL del sito web corrisponda al dominio ufficiale del marchio. Fai attenzione se la pagina contiene errori di ortografia, richiede informazioni sensibili o ha un aspetto diverso dal solito marchio dell’azienda.