{"id":42324,"date":"2026-06-17T17:16:28","date_gmt":"2026-06-17T15:16:28","guid":{"rendered":"https:\/\/smartfense.com\/?p=42324"},"modified":"2026-06-18T10:25:21","modified_gmt":"2026-06-18T08:25:21","slug":"qrishing-phishing-qr-come-simularlo","status":"publish","type":"post","link":"https:\/\/smartfense.com\/it\/blog\/qrishing-phishing-qr-come-simularlo\/","title":{"rendered":"Qrishing: cos’\u00e8 il phishing tramite QR e come simularlo nella tua organizzazione"},"content":{"rendered":"

C\u2019\u00e8 un cartello con un codice QR incollato sopra un altro. A prima vista non si nota, l\u2019adesivo nuovo copre l\u2019originale e porta altrove. Chi lo scansiona crede di pagare il parcheggio o di aprire il men\u00f9 del ristorante, ma ha appena consegnato i suoi dati su una pagina falsa.<\/p>\n

Questo \u00e8 il qrishing, scritto anche quishing, ed \u00e8 uno dei vettori cresciuti di pi\u00f9 nell\u2019ultimo anno. La parte scomoda per il team di sicurezza \u00e8 che quasi tutto ci\u00f2 che \u00e8 stato messo in piedi per fermare il phishing via email non lo vede arrivare.<\/p>\n

Cos\u2019\u00e8 il qrishing?<\/h2>\n

Il qrishing \u00e8 una variante di phishing che usa un codice QR come esca. Al posto di un link testuale, l\u2019attaccante nasconde l\u2019URL malevolo dentro un QR perch\u00e9 la persona lo scansioni e finisca su una pagina fraudolenta.<\/p>\n

Il nome nasce dall\u2019unione di QR e phishing, e lo trovi scritto in entrambi i modi, qrishing e quishing, a seconda della fonte. L\u2019obiettivo \u00e8 quello di sempre (rubare credenziali, dati di pagamento o spingere a installare qualcosa sul dispositivo), ma cambia l\u2019involucro, e quel cambiamento \u00e8 proprio ci\u00f2 che lo rende efficace.<\/p>\n

Come funziona un attacco di qrishing?<\/h2>\n

Lo schema \u00e8 semplice, ed \u00e8 per questo che funziona.<\/p>\n

L\u2019attaccante genera un codice QR falso che punta a una pagina sotto il suo controllo, una copia del portale di accesso di una banca, della posta aziendale o di un gateway di pagamento. Poi lo colloca dove le persone abbassano la guardia: incollato sopra un QR legittimo in uno spazio pubblico, dentro un\u2019email o un PDF dall\u2019aspetto ufficiale, oppure stampato su una lettera che sembra arrivare da un fornitore.<\/p>\n

La persona scansiona, arriva alla pagina falsa, digita le sue credenziali e le consegna all\u2019attaccante senza accorgersene. Dato che il QR si apre quasi sempre sul telefono, il salto dall\u2019ambiente aziendale al dispositivo personale \u00e8 immediato.<\/p>\n

Perch\u00e9 sfugge ai filtri tradizionali?<\/h2>\n

Qui c\u2019\u00e8 il punto che preoccupa di pi\u00f9. Un filtro email analizza link e allegati, ma un codice QR viaggia come immagine. Per il filtro \u00e8 un quadrato di pixel, non un indirizzo da controllare contro le liste di reputazione.<\/p>\n

E c\u2019\u00e8 un secondo problema. Il QR viene quasi sempre scansionato con il telefono personale, fuori dalla rete aziendale e dai suoi controlli. Il team di sicurezza perde visibilit\u00e0 proprio nel momento della scansione. \u00c8 la stessa lacuna di cui parliamo in ci\u00f2 che il tuo SIEM non vede<\/a>, dove il comportamento della persona avviene in un luogo che gli strumenti tradizionali non raggiungono.<\/p>\n

Per questo bloccare non basta. Se la difesa dipende da un sistema che intercetta l\u2019attacco, il qrishing passa sotto.<\/p>\n

Come si simula il qrishing?<\/h2>\n

Il modo per sapere quanto \u00e8 esposta la tua organizzazione \u00e8 provocare un attacco controllato prima che arrivi quello reale. Una simulazione di qrishing riproduce lo scenario in un ambiente sicuro e misura cosa succede.<\/p>\n

In pratica, la campagna include un codice QR che porta a una tua landing page innocua, invece che a un sito fraudolento. Quando qualcuno lo scansiona non consegna nulla; viene solo registrato che ha scansionato, e quel dato alimenta l\u2019indicatore di rischio di quella persona. Con questo, l\u2019organizzazione sa dove rinforzare.<\/p>\n

Ci\u00f2 che distingue una buona simulazione sta in come viene progettata, qualcosa che approfondiamo in come si progetta una campagna di simulazione che cambia il comportamento<\/a>. Il QR \u00e8 un canale in pi\u00f9 dentro questa logica, non un trucco isolato.<\/p>\n

Come si forma il personale contro il qrishing?<\/h2>\n

La tecnologia aiuta, ma di fronte al qrishing la decisione finale la prende sempre una persona con il telefono in mano. Vale la pena lavorare su tre riflessi:<\/p>\n