据悉，针对法国Cofense客户的网络钓鱼攻击背后的骗子，就是使用二维码编码的URL来绕过安全软件，该软件会分析并屏蔽可疑或列入黑名单的域名。

这些钓鱼邮件伪装成SharePoint的电子邮件，标题栏上写着“审查重要文件”(Review Important Document)，邮件正文会邀请潜在受害者“扫描条形码查看文件”。

为了引诱受害者钓鱼登录页面，包含二维码的骗子添加了一个GIF图像将网页重新定向到hxxps: / / digitizeyourart.whitmers [。]com/wp-content/plugins/wp-college/Sharepoint/sharepoint/index.php域冒充SharePoint-related站点。

Cofense的研究人员发现：“大多数智能手机的二维码扫描应用程序会通过手机的本地浏览器立即将用户重新定向到恶意网站。”

在他们的智能手机上登录SharePoint邮件的钓鱼登陆页面后，目标用户可以选择使用美国在线(AOL)、微软(Microsoft)或他们选择的其他类型的账户登录来查看文件。

然而，正如研究人员所补充的，“虽然这听起来像一个简单的网络钓鱼案件，但背后有一个更邪恶的因素在起作用：将用户从安全的企业商业网络中转移。”

将受害者从相对安全的电脑中转移，可以让网络罪犯有效地绕过任何链接保护服务、安全的电子邮件网关、沙箱或目标公司信息安全部门设置的网络内容过滤器。

发生这种情况，是因为这个钓鱼登录页面是在智能手机上（甚至是公司提供的移动设备上）被访问，而一般公司的安全方案对移动端的安全控制更加薄弱，这就造成了更大的风险。

而为了让攻击对移动用户更加成功，攻击者还针对智能手机的登陆页面进行了优化，其中的钓鱼页面提供了移动设备上的自定义视图。

研究人员进一步强调：“虽然受害者现在可能是使用他们个人设备访问钓鱼网站，但收到这封电子邮件的是他们的商务办公邮箱，他们仍然处于办公状态，因此，受害者很可能会输入他们的公司账户凭证，试图访问这个‘文件’。”

在赛门铁克消息网关(Symantec Messaging Gateway)运行的企业环境中，二维码钓鱼电子邮件成功地到达了Cofense客户的收件箱，安全解决方案将这些邮件标记为“非垃圾邮件”。

在2016年夏天，VadeSecure发现了一场几乎相同的网络钓鱼活动，该活动在一个被黑客攻击的WordPress网站上进行，目标是法国的受害者。它绕过了“绝大多数的网络钓鱼、病毒、垃圾邮件和恶意软件过滤器，因为这些过滤器没有明显的URL来检查合法性。”

QRishing仍是一种可靠的、可行很高的攻击方式。

这是网络犯罪分子使用的一种人们熟知的技术，用于避免网络钓鱼被过滤器和安全解决方案拦截，这些方案能够在恶意电子邮件到达目标收件箱之前阻止此类攻击。

2012年卡内基梅隆大学CyLab的一项名为“QRishing：智能手机用户对二维码网络钓鱼攻击的易感性”的研究中，这种行为被称为“QRishing”。

该研究的结论是，“鉴于修补周期长，攻击者有可能在设备上获得更高的权限，针对当前智能手机的这种攻击的容易程度尤其令人担忧。”

在2017年的一篇论文还提出了一种针对他们的可能防御措施，名为QRCS(快速响应码安全)，这将是“一种通用的高效和有效的解决方案，只关注始发者的真实性，从而通过使用数字签名来保护二维码的完整性。”

不幸的是，正如研究员所发现的那样，骗子们仍然在利用QRishing来锁定受害者，通过将攻击转移到受保护程度较低的移动设备上，从而避免被受害者电脑上的安全控制设置所拦截。