detecting-qr-code-phishing-with-email-security
检测并防止二维码网络钓鱼(Quishing)攻击,该攻击通过在邮件图片中嵌入恶意 URL 来绕过传统邮件安全防护。
Best use case
detecting-qr-code-phishing-with-email-security is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
检测并防止二维码网络钓鱼(Quishing)攻击,该攻击通过在邮件图片中嵌入恶意 URL 来绕过传统邮件安全防护。
Teams using detecting-qr-code-phishing-with-email-security should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/detecting-qr-code-phishing-with-email-security/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How detecting-qr-code-phishing-with-email-security Compares
| Feature / Agent | detecting-qr-code-phishing-with-email-security | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
检测并防止二维码网络钓鱼(Quishing)攻击,该攻击通过在邮件图片中嵌入恶意 URL 来绕过传统邮件安全防护。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 使用邮件安全检测二维码网络钓鱼 ## 概述 二维码网络钓鱼(Quishing)是一种快速增长的攻击向量,恶意 URL 被嵌入钓鱼邮件的二维码图片中。2025 年 8 月至 11 月间,Quishing 事件从 46,000 起增长至 250,000 起,增长了五倍,其中凭据钓鱼占检测到事件的 89.3%。传统邮件安全过滤器难以应对,因为二维码既无法被人工阅读,也无法被标准 URL 扫描器识别,而用户扫描后通常使用缺乏企业安全控制的个人移动设备。攻击者已演进出使用分割二维码(两张独立图片)、嵌套二维码和基于 ASCII 文本的二维码来规避检测。 ## 前置条件 - 具有图像分析能力的邮件安全网关 - 了解二维码结构和编码 - 移动设备管理(MDM)或移动威胁防御解决方案 - 安全意识培训计划 - 用于关联和告警的 SIEM 平台 ## 核心概念 ### Quishing 攻击有效的原因 1. **绕过 URL 扫描器**:传统网关扫描基于文本的 URL,但无法解码嵌入图片的 URL 2. **转移到未受保护的设备**:企业邮件在受保护系统上接收,但二维码扫描发生在个人移动设备上 3. **用户信任**:二维码在日常生活中已正常化(支付、菜单、停车) 4. **低检测率**:只有 36% 的 Quishing 事件被收件人准确识别 ### 规避技术(2025 年) - **分割二维码**:二维码分割为两张独立图片,单独看起来无害(Gabagool PhaaS 工具包) - **嵌套二维码**:二维码中嵌套二维码,第一次扫描导向中间页面 - **ASCII 二维码**:二维码以文本字符而非图片渲染,绕过图像分析(2026 年 1 月占攻击的 12%) - **风格化/艺术二维码**:带有 Logo 的自定义设计二维码,规避模式匹配 - **PDF 附件二维码**:二维码嵌入在 PDF 附件而非邮件正文中 ### 检测挑战 - 基于模式的检测面临权衡:激进调整会导致误报,保守调整会导致漏检 - Quishing 与合法二维码邮件之间的平均相似度分数为 0.209 - 图片附件中的二维码需要 OCR 和深度图像处理 ## 实施步骤 ### 步骤一:启用基于图像的威胁检测 - 配置邮件网关扫描嵌入图片中的二维码 - 在图片附件(PNG、JPG、GIF、BMP)上启用 OCR 处理 - 部署结合图像处理、OCR 和 NLP 分析的多模态 AI - 配置 PDF 扫描以检测附件中的二维码 - 设置对基于 ASCII/文本的二维码渲染的检测 ### 步骤二:配置二维码 URL 分析 - 从检测到的二维码中提取 URL,并提交到 URL 信誉服务 - 对二维码提取的 URL 应用与基于文本的 URL 相同的 URL 扫描策略 - 为二维码解码的目标页面启用实时沙箱分析 - 尽可能为二维码提取的 URL 配置点击时保护 - 封锁从二维码中提取的已知钓鱼域名 ### 步骤三:部署移动端保护 - 实施具有二维码扫描功能的移动威胁防御(MTD) - 部署 Palo Alto ALFA 或同等安全设计的二维码扫描解决方案 - 配置 MDM 策略,在用户打开扫描的 URL 前发出警告 - 为二维码扫描目标启用企业 VPN/安全浏览器 - 在移动代理级别封锁已知凭据收割域名 ### 步骤四:建立检测规则 - 对仅包含图片和极少文本的邮件发出告警(常见 Quishing 模式) - 标记来自外部首次发件人且包含二维码图片的邮件 - 检测紧迫性语言与二维码存在的组合 - 对冒充 IT/安全团队请求扫描二维码进行 MFA 设置的邮件发出告警 - 监控常见 Quishing 主题:MFA 重置、文件签名、语音邮件通知 ### 步骤五:培训用户识别 Quishing - 更新安全意识计划,纳入二维码钓鱼场景 - 使用受控二维码开展 Quishing 模拟活动 - 教导用户在输入凭据前验证二维码目标 URL - 为可疑二维码邮件建立举报流程 - 分发安全扫描二维码实践指南 ## 工具与资源 - **Barracuda 多模态 AI**:用于二维码检测的 OCR + 深度图像处理 - **Palo Alto ALFA**:安全设计的二维码扫描评估 - **Microsoft Defender for O365**:邮件图片中的二维码检测 - **Proofpoint TAP**:带二维码解码的基于图像的威胁分析 - **Lookout/Zimperium**:带二维码扫描的移动威胁防御 ## 验证 - 受控测试中检测到二维码钓鱼邮件 - 捕获分割二维码和 ASCII 二维码规避技术 - 二维码提取的 URL 提交到沙箱分析 - 移动设备对恶意二维码目标发出告警 - Quishing 模拟中的用户举报率超过 50% - 二维码检测误报率低于 1%
Related Skills
triaging-security-incident
使用 NIST SP 800-61r3 和 SANS PICERL 框架对安全事件进行初始分类,确定严重性、范围和所需响应行动。 按类型对事件分类,根据业务影响分配优先级,并路由到相应的响应团队。适用于事件分类、 安全告警分类、严重性评估、事件优先级排序或初始事件分析等请求场景。
triaging-security-incident-with-ir-playbook
使用结构化 IR Playbook 对安全事件进行分类和优先排序,确定严重性、分配响应团队并启动适当的响应程序。
triaging-security-alerts-in-splunk
在 Splunk Enterprise Security 中对安全告警进行分类,通过 SPL 查询和事件审查(Incident Review) 仪表板对重要事件进行严重性分类、调查、关联相关遥测并做出升级或关闭决策。 适用于 SOC 分析师需要处理关联搜索产生的告警队列、确定调查优先级, 或需要为交接给二/三级分析师记录分类决策时。
testing-websocket-api-security
测试 WebSocket API 实现中的安全漏洞,包括 WebSocket 升级时缺少身份认证、跨站 WebSocket 劫持(Cross-Site WebSocket Hijacking,CSWSH)、通过 WebSocket 消息进行的注入攻击、输入校验不足、通过消息泛洪实施拒绝服务,以及通过 WebSocket 帧造成的信息泄露。测试人员使用 Burp Suite 拦截 WebSocket 握手和消息,构造恶意 payload,并测试 WebSocket 通道上的授权绕过。适用于 WebSocket 安全测试、WS 渗透测试、CSWSH 攻击或实时 API 安全评估相关请求。
testing-jwt-token-security
在安全测试活动中,评估 JSON Web Token(JWT)实现中的密码学弱点、算法混淆攻击和授权绕过漏洞。
testing-for-email-header-injection
测试 Web 应用程序邮件功能中的 SMTP 头部注入漏洞,这些漏洞允许攻击者注入额外的邮件头部、修改收件人,并通过联系表单实施垃圾邮件中继。
testing-api-security-with-owasp-top-10
使用自动化和手工测试技术,针对 OWASP API 安全 Top 10 风险对 REST 和 GraphQL API 端点进行系统性评估。
performing-wireless-security-assessment-with-kismet
使用 Kismet 通过被动射频监控进行无线网络安全评估,检测流氓接入点(Rogue AP)、隐藏 SSID、弱加密和未授权客户端。
performing-ssl-tls-security-assessment
使用 sslyze Python 库评估 SSL/TLS 服务器配置,评估加密套件、证书链、协议版本、HSTS 头部,以及 Heartbleed 和 ROBOT 等已知漏洞。
performing-soap-web-service-security-testing
通过分析 WSDL 定义,测试 XML 注入(XML Injection)、XXE、WS-Security 绕过和 SOAPAction 欺骗,对 SOAP Web 服务执行安全测试。
performing-serverless-function-security-review
对 AWS Lambda、Azure Functions 和 GCP Cloud Functions 中的无服务器函数(Serverless Function)执行安全审查,识别过度宽松的执行角色(Execution Role)、不安全的环境变量、注入漏洞和缺失的运行时保护措施。
performing-scada-hmi-security-assessment
对 SCADA 人机界面(HMI, Human-Machine Interface)系统进行安全评估,识别基于 Web 的 HMI、瘦客户端配置、认证机制以及 HMI 与 PLC 之间通信信道中的漏洞,符合 IEC 62443 和 NIST SP 800-82 指南要求。