Pillole
Privacy
Sicurezza

Quishing: il phishing via QR Code

Elena Moccia
30/09/2025
Illustrazione di un attacco quishing: un QR Code viene scansionato da uno smartphone, che mostra un simbolo di pericolo con un amo da phishing

Cos’è il quishing e come minaccia aziende e utenti con codici QR malevoli

I QR Code fanno ormai parte della quotidianità: li usiamo per accedere a servizi, ordinare al ristorante, riscattare promozioni. Questa familiarità ha reso la tecnologia un bersaglio ideale per i criminali informatici. Da qui nasce il quishing (QR + phishing), una tecnica che sfrutta i codici QR per indurre l’utente a inserire dati sensibili o ad aprire link che nascondono codice malevolo.

Gli effetti possono essere gravi: dal furto di credenziali e informazioni personali fino alla diffusione di malware, ransomware o spyware in grado di compromettere intere reti aziendali. Per le aziende il rischio va oltre la perdita di dati, coinvolgendo anche la continuità operativa e la reputazione, con inevitabili ripercussioni economiche.

Quishing vs phishing: la differenza

La distinzione è semplice: nel phishing classico l’inganno arriva tramite email o SMS, mentre nel Quishing lo strumento è il QR Code.

Un QR Code è un’immagine bidimensionale che di solito contiene un link. Una volta scansionato con lo smartphone o con un lettore dedicato, l’utente viene reindirizzato al sito memorizzato. Nel quishing quel sito è fraudolento: imita una pagina legittima per rubare credenziali, dati bancari o altre informazioni. In alcuni casi spinge a scaricare file o applicazioni dannose, o ad avviare azioni che compromettono il dispositivo.

Come funziona un attacco di quishing

Un QR Code apparentemente innocuo può nascondere un collegamento fraudolento. Basta una scansione per finire su una pagina che imita un sito legittimo, come quello della banca o della webmail aziendale, con l’obiettivo di carpire credenziali, numeri di carte di credito o dati sensibili.

La diffusione dei QR Code li ha resi strumenti percepiti come sicuri. Proprio questa fiducia li rende un mezzo efficace per i criminali, che li usano per diffondere link malevoli. Se il codice arriva via email su un computer aziendale o viene stampato su carta, per aprirlo serve un secondo dispositivo, in genere lo smartphone. In questo passaggio l’utente tende a essere meno vigile e ad aprire automaticamente il link, facilitando così l’attacco.

La situazione si complica quando i dispositivi mobili non sono protetti da soluzioni avanzate come endpoint protection, proxy, DNS security o content gateway. Senza questi livelli di difesa, un QR malevolo ha molte più probabilità di raggiungere il suo obiettivo.

Qualche esempio

Email ingannevoli

L’utente riceve un’email che imita alla perfezione una comunicazione ufficiale che può sembrare inviata da una banca, da un corriere o da un social network. Nel messaggio compare un QR Code accompagnato da un pretesto alarmante, per esempio «reset immediato della password» o «pagamento in sospeso».

Colto di sorpresa, il destinatario scansiona il codice senza pensarci troppo. Viene così reindirizzato a un sito clone, perfettamente simile all’originale, dove gli vengono richieste credenziali, dati bancari o altre informazioni personali. I dati raccolti finiscono nelle mani dei truffatori, che li sfruttano per furti di identità o frodi finanziarie.

La truffa del postino

Una delle evoluzioni più insidiose del phishing passa anche dalla posta cartacea. Alcuni truffatori spediscono lettere che imitano perfettamente la grafica e il tono di enti pubblici o istituzioni note. All’interno inseriscono un QR Code che, una volta scansionato, porta a un sito fraudolento costruito per sembrare identico a quello ufficiale.

Convinte di trovarsi su una pagina legittima, le vittime finiscono per inserire dati personali o finanziari. Informazioni che i criminali utilizzano poi per sottrarre denaro o commettere furti di identità.

Come difendersi dal quishing

Quando i QR Code non vengono filtrati dai sistemi di sicurezza, la responsabilità passa all’utente. Come per il phishing classico, è fondamentale verificare l’attendibilità del mittente, chiedersi se si era davvero in attesa di quella comunicazione e prestare attenzione a eventuali segnali di urgenza o pressione.

Un aiuto concreto arriva dall’autenticazione a più fattori (2FA). Anche se un truffatore riuscisse a carpire le credenziali tramite un sito clone, senza il secondo fattore non potrebbe comunque accedere alla casella email. Per questo attivare la 2FA è una misura semplice ma estremamente efficace per proteggere gli account aziendali. Qboxmail la integra nativamente, offrendo così un ulteriore livello di sicurezza.

Altre buone pratiche da adottare:

Il quishing è solo l’ultima evoluzione delle tecniche di phishing. Difendersi significa combinare tecnologia, buone pratiche e consapevolezza. Con soluzioni come la 2FA integrata in Qboxmail e una gestione sicura delle email aziendali, ridurre il rischio è possibile e alla portata di tutti.

Illustrazione di un professionista al computer con simbolo di protezione email e checklist di sicurezza. Concetto di gestione sicura delle email in azienda.

Gestione sicura delle email in ambienti critici

11/11/2025
llustrazione della webmail Qboxmail con simboli SPF e DKIM e un’icona di sicurezza che rappresenta la protezione dalle email contraffatte

L’importanza dell’autenticazione delle email

27/10/2025
Esempio di SMS truffa con link sospetto, tipico di un attacco di smishing

Smishing: difenditi dagli sms truffa

Utilizziamo i cookie per fornirti una migliore esperienza di navigazione, continuando ne accetti l’utilizzo. Per maggiori informazioni visita la pagina Privacy policy.

Accetta