detecting-qr-code-phishing-with-email-security

使用邮件安全检测二维码网络钓鱼

概述

二维码网络钓鱼（Quishing）是一种快速增长的攻击向量，恶意 URL 被嵌入钓鱼邮件的二维码图片中。2025 年 8 月至 11 月间，Quishing 事件从 46,000 起增长至 250,000 起，增长了五倍，其中凭据钓鱼占检测到事件的 89.3%。传统邮件安全过滤器难以应对，因为二维码既无法被人工阅读，也无法被标准 URL 扫描器识别，而用户扫描后通常使用缺乏企业安全控制的个人移动设备。攻击者已演进出使用分割二维码（两张独立图片）、嵌套二维码和基于 ASCII 文本的二维码来规避检测。

前置条件

• 具有图像分析能力的邮件安全网关
• 了解二维码结构和编码
• 移动设备管理（MDM）或移动威胁防御解决方案
• 安全意识培训计划
• 用于关联和告警的 SIEM 平台

核心概念

Quishing 攻击有效的原因

1. 绕过 URL 扫描器：传统网关扫描基于文本的 URL，但无法解码嵌入图片的 URL
2. 转移到未受保护的设备：企业邮件在受保护系统上接收，但二维码扫描发生在个人移动设备上
3. 用户信任：二维码在日常生活中已正常化（支付、菜单、停车）
4. 低检测率：只有 36% 的 Quishing 事件被收件人准确识别

规避技术（2025 年）

• 分割二维码：二维码分割为两张独立图片，单独看起来无害（Gabagool PhaaS 工具包）
• 嵌套二维码：二维码中嵌套二维码，第一次扫描导向中间页面
• ASCII 二维码：二维码以文本字符而非图片渲染，绕过图像分析（2026 年 1 月占攻击的 12%）
• 风格化/艺术二维码：带有 Logo 的自定义设计二维码，规避模式匹配
• PDF 附件二维码：二维码嵌入在 PDF 附件而非邮件正文中

检测挑战

• 基于模式的检测面临权衡：激进调整会导致误报，保守调整会导致漏检
• Quishing 与合法二维码邮件之间的平均相似度分数为 0.209
• 图片附件中的二维码需要 OCR 和深度图像处理

实施步骤

步骤一：启用基于图像的威胁检测

• 配置邮件网关扫描嵌入图片中的二维码
• 在图片附件（PNG、JPG、GIF、BMP）上启用 OCR 处理
• 部署结合图像处理、OCR 和 NLP 分析的多模态 AI
• 配置 PDF 扫描以检测附件中的二维码
• 设置对基于 ASCII/文本的二维码渲染的检测

步骤二：配置二维码 URL 分析

• 从检测到的二维码中提取 URL，并提交到 URL 信誉服务
• 对二维码提取的 URL 应用与基于文本的 URL 相同的 URL 扫描策略
• 为二维码解码的目标页面启用实时沙箱分析
• 尽可能为二维码提取的 URL 配置点击时保护
• 封锁从二维码中提取的已知钓鱼域名

步骤三：部署移动端保护

• 实施具有二维码扫描功能的移动威胁防御（MTD）
• 部署 Palo Alto ALFA 或同等安全设计的二维码扫描解决方案
• 配置 MDM 策略，在用户打开扫描的 URL 前发出警告
• 为二维码扫描目标启用企业 VPN/安全浏览器
• 在移动代理级别封锁已知凭据收割域名

步骤四：建立检测规则

• 对仅包含图片和极少文本的邮件发出告警（常见 Quishing 模式）
• 标记来自外部首次发件人且包含二维码图片的邮件
• 检测紧迫性语言与二维码存在的组合
• 对冒充 IT/安全团队请求扫描二维码进行 MFA 设置的邮件发出告警
• 监控常见 Quishing 主题：MFA 重置、文件签名、语音邮件通知

步骤五：培训用户识别 Quishing

• 更新安全意识计划，纳入二维码钓鱼场景
• 使用受控二维码开展 Quishing 模拟活动
• 教导用户在输入凭据前验证二维码目标 URL
• 为可疑二维码邮件建立举报流程
• 分发安全扫描二维码实践指南

工具与资源

• Barracuda 多模态 AI：用于二维码检测的 OCR + 深度图像处理
• Palo Alto ALFA：安全设计的二维码扫描评估
• Microsoft Defender for O365：邮件图片中的二维码检测
• Proofpoint TAP：带二维码解码的基于图像的威胁分析
• Lookout/Zimperium：带二维码扫描的移动威胁防御

验证

• 受控测试中检测到二维码钓鱼邮件
• 捕获分割二维码和 ASCII 二维码规避技术
• 二维码提取的 URL 提交到沙箱分析
• 移动设备对恶意二维码目标发出告警
• Quishing 模拟中的用户举报率超过 50%
• 二维码检测误报率低于 1%