detecting-qr-code-phishing-with-email-security

检测并防止二维码网络钓鱼(Quishing)攻击,该攻击通过在邮件图片中嵌入恶意 URL 来绕过传统邮件安全防护。

9 stars

Best use case

detecting-qr-code-phishing-with-email-security is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

检测并防止二维码网络钓鱼(Quishing)攻击,该攻击通过在邮件图片中嵌入恶意 URL 来绕过传统邮件安全防护。

Teams using detecting-qr-code-phishing-with-email-security should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/detecting-qr-code-phishing-with-email-security/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/detecting-qr-code-phishing-with-email-security/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/detecting-qr-code-phishing-with-email-security/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How detecting-qr-code-phishing-with-email-security Compares

Feature / Agentdetecting-qr-code-phishing-with-email-securityStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

检测并防止二维码网络钓鱼(Quishing)攻击,该攻击通过在邮件图片中嵌入恶意 URL 来绕过传统邮件安全防护。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 使用邮件安全检测二维码网络钓鱼

## 概述

二维码网络钓鱼(Quishing)是一种快速增长的攻击向量,恶意 URL 被嵌入钓鱼邮件的二维码图片中。2025 年 8 月至 11 月间,Quishing 事件从 46,000 起增长至 250,000 起,增长了五倍,其中凭据钓鱼占检测到事件的 89.3%。传统邮件安全过滤器难以应对,因为二维码既无法被人工阅读,也无法被标准 URL 扫描器识别,而用户扫描后通常使用缺乏企业安全控制的个人移动设备。攻击者已演进出使用分割二维码(两张独立图片)、嵌套二维码和基于 ASCII 文本的二维码来规避检测。

## 前置条件

- 具有图像分析能力的邮件安全网关
- 了解二维码结构和编码
- 移动设备管理(MDM)或移动威胁防御解决方案
- 安全意识培训计划
- 用于关联和告警的 SIEM 平台

## 核心概念

### Quishing 攻击有效的原因

1. **绕过 URL 扫描器**:传统网关扫描基于文本的 URL,但无法解码嵌入图片的 URL
2. **转移到未受保护的设备**:企业邮件在受保护系统上接收,但二维码扫描发生在个人移动设备上
3. **用户信任**:二维码在日常生活中已正常化(支付、菜单、停车)
4. **低检测率**:只有 36% 的 Quishing 事件被收件人准确识别

### 规避技术(2025 年)

- **分割二维码**:二维码分割为两张独立图片,单独看起来无害(Gabagool PhaaS 工具包)
- **嵌套二维码**:二维码中嵌套二维码,第一次扫描导向中间页面
- **ASCII 二维码**:二维码以文本字符而非图片渲染,绕过图像分析(2026 年 1 月占攻击的 12%)
- **风格化/艺术二维码**:带有 Logo 的自定义设计二维码,规避模式匹配
- **PDF 附件二维码**:二维码嵌入在 PDF 附件而非邮件正文中

### 检测挑战

- 基于模式的检测面临权衡:激进调整会导致误报,保守调整会导致漏检
- Quishing 与合法二维码邮件之间的平均相似度分数为 0.209
- 图片附件中的二维码需要 OCR 和深度图像处理

## 实施步骤

### 步骤一:启用基于图像的威胁检测

- 配置邮件网关扫描嵌入图片中的二维码
- 在图片附件(PNG、JPG、GIF、BMP)上启用 OCR 处理
- 部署结合图像处理、OCR 和 NLP 分析的多模态 AI
- 配置 PDF 扫描以检测附件中的二维码
- 设置对基于 ASCII/文本的二维码渲染的检测

### 步骤二:配置二维码 URL 分析

- 从检测到的二维码中提取 URL,并提交到 URL 信誉服务
- 对二维码提取的 URL 应用与基于文本的 URL 相同的 URL 扫描策略
- 为二维码解码的目标页面启用实时沙箱分析
- 尽可能为二维码提取的 URL 配置点击时保护
- 封锁从二维码中提取的已知钓鱼域名

### 步骤三:部署移动端保护

- 实施具有二维码扫描功能的移动威胁防御(MTD)
- 部署 Palo Alto ALFA 或同等安全设计的二维码扫描解决方案
- 配置 MDM 策略,在用户打开扫描的 URL 前发出警告
- 为二维码扫描目标启用企业 VPN/安全浏览器
- 在移动代理级别封锁已知凭据收割域名

### 步骤四:建立检测规则

- 对仅包含图片和极少文本的邮件发出告警(常见 Quishing 模式)
- 标记来自外部首次发件人且包含二维码图片的邮件
- 检测紧迫性语言与二维码存在的组合
- 对冒充 IT/安全团队请求扫描二维码进行 MFA 设置的邮件发出告警
- 监控常见 Quishing 主题:MFA 重置、文件签名、语音邮件通知

### 步骤五:培训用户识别 Quishing

- 更新安全意识计划,纳入二维码钓鱼场景
- 使用受控二维码开展 Quishing 模拟活动
- 教导用户在输入凭据前验证二维码目标 URL
- 为可疑二维码邮件建立举报流程
- 分发安全扫描二维码实践指南

## 工具与资源

- **Barracuda 多模态 AI**:用于二维码检测的 OCR + 深度图像处理
- **Palo Alto ALFA**:安全设计的二维码扫描评估
- **Microsoft Defender for O365**:邮件图片中的二维码检测
- **Proofpoint TAP**:带二维码解码的基于图像的威胁分析
- **Lookout/Zimperium**:带二维码扫描的移动威胁防御

## 验证

- 受控测试中检测到二维码钓鱼邮件
- 捕获分割二维码和 ASCII 二维码规避技术
- 二维码提取的 URL 提交到沙箱分析
- 移动设备对恶意二维码目标发出告警
- Quishing 模拟中的用户举报率超过 50%
- 二维码检测误报率低于 1%

Related Skills

triaging-security-incident

9
from killvxk/cybersecurity-skills-zh

使用 NIST SP 800-61r3 和 SANS PICERL 框架对安全事件进行初始分类,确定严重性、范围和所需响应行动。 按类型对事件分类,根据业务影响分配优先级,并路由到相应的响应团队。适用于事件分类、 安全告警分类、严重性评估、事件优先级排序或初始事件分析等请求场景。

triaging-security-incident-with-ir-playbook

9
from killvxk/cybersecurity-skills-zh

使用结构化 IR Playbook 对安全事件进行分类和优先排序,确定严重性、分配响应团队并启动适当的响应程序。

triaging-security-alerts-in-splunk

9
from killvxk/cybersecurity-skills-zh

在 Splunk Enterprise Security 中对安全告警进行分类,通过 SPL 查询和事件审查(Incident Review) 仪表板对重要事件进行严重性分类、调查、关联相关遥测并做出升级或关闭决策。 适用于 SOC 分析师需要处理关联搜索产生的告警队列、确定调查优先级, 或需要为交接给二/三级分析师记录分类决策时。

testing-websocket-api-security

9
from killvxk/cybersecurity-skills-zh

测试 WebSocket API 实现中的安全漏洞,包括 WebSocket 升级时缺少身份认证、跨站 WebSocket 劫持(Cross-Site WebSocket Hijacking,CSWSH)、通过 WebSocket 消息进行的注入攻击、输入校验不足、通过消息泛洪实施拒绝服务,以及通过 WebSocket 帧造成的信息泄露。测试人员使用 Burp Suite 拦截 WebSocket 握手和消息,构造恶意 payload,并测试 WebSocket 通道上的授权绕过。适用于 WebSocket 安全测试、WS 渗透测试、CSWSH 攻击或实时 API 安全评估相关请求。

testing-jwt-token-security

9
from killvxk/cybersecurity-skills-zh

在安全测试活动中,评估 JSON Web Token(JWT)实现中的密码学弱点、算法混淆攻击和授权绕过漏洞。

testing-for-email-header-injection

9
from killvxk/cybersecurity-skills-zh

测试 Web 应用程序邮件功能中的 SMTP 头部注入漏洞,这些漏洞允许攻击者注入额外的邮件头部、修改收件人,并通过联系表单实施垃圾邮件中继。

testing-api-security-with-owasp-top-10

9
from killvxk/cybersecurity-skills-zh

使用自动化和手工测试技术,针对 OWASP API 安全 Top 10 风险对 REST 和 GraphQL API 端点进行系统性评估。

performing-wireless-security-assessment-with-kismet

9
from killvxk/cybersecurity-skills-zh

使用 Kismet 通过被动射频监控进行无线网络安全评估,检测流氓接入点(Rogue AP)、隐藏 SSID、弱加密和未授权客户端。

performing-ssl-tls-security-assessment

9
from killvxk/cybersecurity-skills-zh

使用 sslyze Python 库评估 SSL/TLS 服务器配置,评估加密套件、证书链、协议版本、HSTS 头部,以及 Heartbleed 和 ROBOT 等已知漏洞。

performing-soap-web-service-security-testing

9
from killvxk/cybersecurity-skills-zh

通过分析 WSDL 定义,测试 XML 注入(XML Injection)、XXE、WS-Security 绕过和 SOAPAction 欺骗,对 SOAP Web 服务执行安全测试。

performing-serverless-function-security-review

9
from killvxk/cybersecurity-skills-zh

对 AWS Lambda、Azure Functions 和 GCP Cloud Functions 中的无服务器函数(Serverless Function)执行安全审查,识别过度宽松的执行角色(Execution Role)、不安全的环境变量、注入漏洞和缺失的运行时保护措施。

performing-scada-hmi-security-assessment

9
from killvxk/cybersecurity-skills-zh

对 SCADA 人机界面(HMI, Human-Machine Interface)系统进行安全评估,识别基于 Web 的 HMI、瘦客户端配置、认证机制以及 HMI 与 PLC 之间通信信道中的漏洞,符合 IEC 62443 和 NIST SP 800-82 指南要求。