I codici QR inseriti nelle e-mail rappresentano da tempo uno strumento utilizzato per phishing e truffe online. Nella seconda metà del 2025, Kaspersky ha registrato un aumento di cinque volte degli attacchi di phishing tramite QR code. Oggi i ricercatori dell’azienda hanno individuato una nuova tattica: gli hacker creano codici QR utilizzano caratteri di testo invece delle tradizionali immagini. Questo metodo consente ai codici QR dannosi di eludere molte soluzioni di sicurezza per la posta elettronica basate sulla scansione delle immagini o sul rilevamento dei link.
I primi computer non era in grado di riprodurre immagini vere e proprie e le immagini visualizzate erano composte interamente da caratteri di testo. Storicamente, questo avveniva utilizzando i simboli del set di caratteri ASCII (American Standard Code for Information Interchange), introdotto nel 1963. Le immagini create con questa tecnica venivano definite “grafica ASCII”. Successivamente sono stati utilizzati anche altri set di caratteri, come Unicode, ma il termine “grafica ASCII” è rimasto in uso.
Già negli anni 2000, gli spammer utilizzavano immagini composte da simboli di testo. Attraverso grafici basati su testo anziché immagini incorporate, gli hacker cercavano infatti di aggirare i meccanismi di rilevamento
Utilizzando la grafica ASCII per creare i codici QR, lo schema di phishing segue uno schema familiare, analogo a quello dei codici QR nelle immagini descritto in precedenza da Kaspersky. Le vittime ricevono un’e-mail apparentemente proveniente da un partner commerciale, che sostiene di contenere un documento riservato da firmare tramite DocuSign. Il messaggio invita il destinatario a scansionare un codice QR per accedere al documento, reindirizzandolo verso un sito web falso in cui vengono richieste le credenziali aziendali. Poiché il codice QR è rappresentato da caratteri di testo, molte soluzioni di protezione non riuscirebbero a identificare eventuali link sospetti.
“In passato abbiamo visto i phisher tentare di eludere la scansione dei link nascondendo gli URL nelle immagini. Ora stanno cercando di aggirare anche la scansione delle immagini tornando al testo, questa volta per riprodurre un codice QR. Qualsiasi situazione in cui un codice QR richieda l’inserimento di credenziali aziendali su un dispositivo mobile dovrebbe destare immediatamente sospetti. Quando il codice QR viene creato utilizzando arte ASCII testuale, si tratta quasi certamente di un tentativo di phishing o di un’esca verso un URL dannoso. Questo trucco ha un unico obiettivo: aggirare le tecnologie di sicurezza.”, ha commentato Roman Dedenok, Anti-Spam Expert di Kaspersky.
Per difendersi da questa minaccia, Kaspersky consiglia di implementare una soluzione affidabile per la sicurezza dei server di posta elettronica, come Kaspersky Security for Mail Server, che garantisce uno scambio sicuro delle e-mail aziendali contrastando spam, infezioni trasmesse tramite posta elettronica, tutte le forme di phishing, il Business Email Compromise (BEC), gli attacchi tramite codici QR e altre minacce.
