Skill

detecting-qr-code-phishing-with-email-security

Guides detection and prevention of QR code phishing (Quishing) in emails via image OCR, URL extraction, sandboxing, mobile defenses, and detection rules. For email security configs.

security

npx claudepluginhub killvxk/cybersecurity-skills-zh

Tool Access

This skill uses the workspace's default tool permissions.

Preview

二维码网络钓鱼（Quishing）是一种快速增长的攻击向量，恶意 URL 被嵌入钓鱼邮件的二维码图片中。2025 年 8 月至 11 月间，Quishing 事件从 46,000 起增长至 250,000 起，增长了五倍，其中凭据钓鱼占检测到事件的 89.3%。传统邮件安全过滤器难以应对，因为二维码既无法被人工阅读，也无法被标准 URL 扫描器识别，而用户扫描后通常使用缺乏企业安全控制的个人移动设备。攻击者已演进出使用分割二维码（两张独立图片）、嵌套二维码和基于 ASCII 文本的二维码来规避检测。

Supporting Assets

LICENSEassets/template.mdreferences/api-reference.mdreferences/standards.mdreferences/workflows.mdscripts/agent.pyscripts/process.py

SKILL.md

Similar Skills

detecting-qr-code-phishing-with-email-security

5.9k

Guides detection of QR code phishing (quishing) in emails via image analysis, evasion techniques like split/nested codes, and SOC procedures for threat hunting and rule-building.

7 files

cybersecurity-skills

detecting-qr-code-phishing-with-email-security

Detects QR code phishing (quishing) attacks in emails via image analysis. Guides SOC analysts in incident investigation, detection rule creation, and threat hunting.

asi

conducting-phishing-incident-response

Guides phishing incident response: analyzes reported emails and headers, extracts IOCs from URLs/attachments via sandboxing, assesses credential compromise, isolates malicious emails organization-wide, and remediates accounts.

3 files

cybersecurity-skills-zh

Stats

Stars10

Forks1

Last CommitMar 17, 2026

Actions

View Source View Plugin View on GitHub View README

Help us improve

Share bugs, ideas, or general feedback.

使用邮件安全检测二维码网络钓鱼

概述

前置条件

具有图像分析能力的邮件安全网关
了解二维码结构和编码
移动设备管理（MDM）或移动威胁防御解决方案
安全意识培训计划
用于关联和告警的 SIEM 平台

核心概念

Quishing 攻击有效的原因

绕过 URL 扫描器：传统网关扫描基于文本的 URL，但无法解码嵌入图片的 URL
转移到未受保护的设备：企业邮件在受保护系统上接收，但二维码扫描发生在个人移动设备上
用户信任：二维码在日常生活中已正常化（支付、菜单、停车）
低检测率：只有 36% 的 Quishing 事件被收件人准确识别

规避技术（2025 年）

分割二维码：二维码分割为两张独立图片，单独看起来无害（Gabagool PhaaS 工具包）
嵌套二维码：二维码中嵌套二维码，第一次扫描导向中间页面
ASCII 二维码：二维码以文本字符而非图片渲染，绕过图像分析（2026 年 1 月占攻击的 12%）
风格化/艺术二维码：带有 Logo 的自定义设计二维码，规避模式匹配
PDF 附件二维码：二维码嵌入在 PDF 附件而非邮件正文中

检测挑战

基于模式的检测面临权衡：激进调整会导致误报，保守调整会导致漏检
Quishing 与合法二维码邮件之间的平均相似度分数为 0.209
图片附件中的二维码需要 OCR 和深度图像处理

实施步骤

步骤一：启用基于图像的威胁检测

配置邮件网关扫描嵌入图片中的二维码
在图片附件（PNG、JPG、GIF、BMP）上启用 OCR 处理
部署结合图像处理、OCR 和 NLP 分析的多模态 AI
配置 PDF 扫描以检测附件中的二维码
设置对基于 ASCII/文本的二维码渲染的检测

步骤二：配置二维码 URL 分析

从检测到的二维码中提取 URL，并提交到 URL 信誉服务
对二维码提取的 URL 应用与基于文本的 URL 相同的 URL 扫描策略
为二维码解码的目标页面启用实时沙箱分析
尽可能为二维码提取的 URL 配置点击时保护
封锁从二维码中提取的已知钓鱼域名

步骤三：部署移动端保护

实施具有二维码扫描功能的移动威胁防御（MTD）
部署 Palo Alto ALFA 或同等安全设计的二维码扫描解决方案
配置 MDM 策略，在用户打开扫描的 URL 前发出警告
为二维码扫描目标启用企业 VPN/安全浏览器
在移动代理级别封锁已知凭据收割域名

步骤四：建立检测规则

对仅包含图片和极少文本的邮件发出告警（常见 Quishing 模式）
标记来自外部首次发件人且包含二维码图片的邮件
检测紧迫性语言与二维码存在的组合
对冒充 IT/安全团队请求扫描二维码进行 MFA 设置的邮件发出告警
监控常见 Quishing 主题：MFA 重置、文件签名、语音邮件通知

步骤五：培训用户识别 Quishing

更新安全意识计划，纳入二维码钓鱼场景
使用受控二维码开展 Quishing 模拟活动
教导用户在输入凭据前验证二维码目标 URL
为可疑二维码邮件建立举报流程
分发安全扫描二维码实践指南

工具与资源

Barracuda 多模态 AI：用于二维码检测的 OCR + 深度图像处理
Palo Alto ALFA：安全设计的二维码扫描评估
Microsoft Defender for O365：邮件图片中的二维码检测
Proofpoint TAP：带二维码解码的基于图像的威胁分析
Lookout/Zimperium：带二维码扫描的移动威胁防御

验证

受控测试中检测到二维码钓鱼邮件
捕获分割二维码和 ASCII 二维码规避技术
二维码提取的 URL 提交到沙箱分析
移动设备对恶意二维码目标发出告警
Quishing 模拟中的用户举报率超过 50%
二维码检测误报率低于 1%