I codici QR nelle e-mail restano uno degli strumenti usati dai criminali informatici per nascondere link di phishing e spostare l’interazione dal computer aziendale allo smartphone dell’utente. Secondo Kaspersky, nella seconda metà del 2025 gli attacchi di phishing tramite QR code hanno registrato una crescita significativa: le rilevazioni sono passate da 46.969 ad agosto 2025 a 249.723 a novembre 2025, con un aumento superiore a cinque volte.
La novità individuata dai ricercatori riguarda una tecnica più evasiva: la creazione di QR code composti da caratteri di testo, anziché da immagini tradizionali. In questo modo, il codice non appare come file grafico incorporato nel messaggio, ma come una sequenza di simboli organizzati per riprodurre visivamente un QR code. Secondo Kaspersky, questa scelta può mettere in difficoltà le soluzioni di sicurezza che cercano link sospetti nel corpo dell’e-mail o analizzano immagini allegate.
Come funziona il phishing con QR code in ASCII art
La tecnica richiama la cosiddetta ASCII art, una forma di grafica testuale nata quando i computer non potevano rappresentare immagini complesse. In origine, le figure erano composte con i simboli dello standard ASCII, introdotto nel 1963; in seguito sono stati usati anche caratteri Unicode, ma il nome è rimasto associato a questo tipo di rappresentazione grafica.
Nel caso segnalato da Kaspersky, gli aggressori applicano lo stesso principio ai QR code. Il messaggio può presentarsi come una comunicazione apparentemente legata a un documento riservato da firmare tramite DocuSign. Il destinatario viene invitato a scansionare il QR code per accedere al documento, ma il collegamento porta a una pagina falsa che richiede le credenziali aziendali.
Il punto centrale è l’evasione dei controlli. Un normale link può essere riconosciuto dai sistemi antiphishing. Un QR code in formato immagine può essere letto da strumenti capaci di estrarre l’URL incorporato. Un QR code costruito con caratteri testuali, invece, punta a evitare entrambe le forme di analisi: non contiene un link visibile nel testo e non si presenta come un’immagine classica da esaminare.
Perché i QR code sono rischiosi nelle e-mail aziendali
I QR code hanno usi legittimi, per esempio per condividere contatti, link ad app, mappe o configurazioni da aprire su smartphone. In ambito aziendale, però, un QR code ricevuto via e-mail che richiede l’accesso con credenziali di lavoro deve essere trattato come un segnale di rischio.
Il motivo è operativo: l’utente spesso scansiona il codice con un telefono personale, che può avere protezioni inferiori rispetto al computer aziendale. Kaspersky osserva che gli aggressori sfruttano proprio questo passaggio, perché lo smartphone può trovarsi fuori dal perimetro di controllo dell’azienda.
La minaccia rientra nel fenomeno noto come quishing, cioè phishing tramite QR code. Nel 2025, secondo il rapporto annuale di Kaspersky su spam e phishing, i QR code sono stati usati anche in campagne estorsive e in messaggi fraudolenti, compresi tentativi di nascondere indirizzi di wallet per criptovalute.
Il ruolo dei falsi documenti e delle comunicazioni aziendali
Le campagne basate su QR code funzionano perché imitano processi quotidiani: documenti da firmare, notifiche HR, fatture, conferme d’acquisto o avvisi interni. Secondo Kaspersky, i codici QR dannosi sono stati inseriti sia nel corpo delle e-mail sia in allegati PDF, con l’obiettivo di occultare l’URL e spingere l’utente verso pagine progettate per sottrarre username, password e altri dati di accesso.
Queste tecniche possono avere conseguenze rilevanti per le aziende. Il furto di credenziali può aprire la strada ad accessi non autorizzati, compromissione di account, frodi finanziarie e ulteriori attacchi interni. Il rischio cresce quando le credenziali sottratte appartengono a dipendenti con privilegi elevati o accesso a sistemi sensibili.
Cosa devono fare aziende e utenti
La prima regola è diffidare delle e-mail che chiedono di scansionare un QR code per accedere a un documento, confermare dati o inserire credenziali aziendali. Un servizio legittimo dovrebbe offrire canali di accesso verificabili, coerenti con le procedure interne e riconoscibili tramite dominio ufficiale.
Le aziende dovrebbero rafforzare la protezione dei server di posta, adottare soluzioni capaci di analizzare QR code anche negli allegati e affiancare queste misure a formazione periodica. Kaspersky suggerisce anche l’uso di sistemi di sicurezza sugli endpoint e attività di security awareness per aiutare i dipendenti a riconoscere le tecniche più recenti, compresi i QR code realizzati con caratteri testuali.
Per gli utenti, la cautela resta essenziale: prima di scansionare un QR code ricevuto via e-mail, è opportuno verificare il mittente, controllare il contesto della richiesta e usare canali alternativi per confermare la legittimità del messaggio. Se un QR code porta a una pagina di login aziendale aperta su smartphone, la richiesta deve essere valutata con particolare attenzione.
