Киберпреступники начали применять новый приём в фишинговых кампаниях — QR-коды, созданные не в виде изображений, а с помощью HTML-таблиц, что позволяет обходить стандартные системы защиты почтовых сервисов. Вместо графических файлов злоумышленники используют таблицы из ячеек размером примерно 35×35 пикселей, окрашенных в чёрный и белый цвета, формируя визуально полноценный QR-код.
Поскольку большинство защитных решений анализируют вложенные изображения и графический контент, такие письма не распознаются как содержащие QR-код и успешно проходят фильтрацию. Первые зафиксированные случаи применения этой техники относятся к концу декабря 2025 года.
В рамках атак получателям предлагалось отсканировать код якобы для «подтверждения» или «подписания» документов. После сканирования пользователи перенаправлялись на поддельные сайты, предназначенные для кражи логинов, паролей и других конфиденциальных данных.
Эксперты отмечают, что данный метод наглядно демонстрирует уязвимость защиты, основанной исключительно на техническом анализе контента. Новая схема сочетает нестандартные технические обходы с элементами социальной инженерии, что повышает её эффективность. В результате пользователям рекомендуется сохранять бдительность даже в отношении писем, прошедших автоматическую проверку почтовыми сервисами.