黑客利用AI网站生成器发动钓鱼攻击

25 September 2025, 13:14

诸如Lovable之类的工具允许任何人在极少或零编程知识的情况下，通过简单提示构建并托管网站。这些工具旨在简化开发过程并降低入门门槛。不幸的是，这些支持开发者和非技术人员的优势同样可能被攻击者利用。

趋势科技观察到，在人工智能支持的平台上创建和托管的虚假验证码页面数量有所增加。据研究人员称，这些页面充当钓鱼攻击活动的入口点。

在此类攻击活动中，攻击通常以相当标准的方式开始：受害者会收到关于需要重置密码或包裹未送达的电子邮件。点击链接会将受害者引导至带有虚假验证码验证的页面。

有趣的是，输入错误答案会导致显示错误信息。这是一种社会工程技术，旨在让验证过程显得真实，从而建立信任。完成验证码后，受害者将被重定向到真正的钓鱼页面，该页面会窃取凭据。

研究人员首次观察到网络犯罪分子使用AI服务创建网站是在一月份。活动在二月份急剧增加，然后逐渐下降，直到今年八月份再次激增。

Proofpoint也发布了关于此主题的研究。今年早些时候，研究人员测试了在Lovable上创建虚假页面的可能性，这些页面模仿知名企业软件功能以窃取凭据，在此过程中没有遇到任何限制或错误。

Proofpoint将其发现报告给了Lovable公司。数百个可疑域在同一周内被Lovable删除。该公司还表示，已实施了基于AI的安全措施，旨在阻止网络犯罪分子创建页面。据该公司称，2025年7月推出了实时检测功能，以防止用户在输入指令时创建恶意页面，同时还推出了每日自动扫描已发布项目的功能，以标记潜在恶意项目。Lovable还表示，计划在今年秋季实施额外的用户账户安全措施，以识别欺诈行为并主动阻止用户。这听起来不错，但网络犯罪分子似乎已经找到了绕过方法，即使用包含"无害"验证码的页面，解决验证码后会重定向到真正的钓鱼页面。

启动具有说服力的虚假验证码页面只需要最低限度的技术技能。在Lovable上，攻击者可以使用氛围编程（即利用AI根据提示生成代码），而Netlify和Vercel等平台允许在CI/CD流程中轻松集成AI编码助手，以大规模生成虚假验证码页面。免费托管进一步降低了启动钓鱼操作的成本。基于知名流行平台声誉，以*.vercel.app或*.netlify.app结尾的域名看起来也不可疑。不幸的是，所有这些使得这些工具成为快速、低成本大规模发起钓鱼的"绝佳"工具（这不是钓鱼建议）。

借助自动网站创建工具，网络犯罪分子将能够投入更多时间准备攻击和改进社会工程技术。未来，我们可能会看到更加精细、因此更难检测和识别的钓鱼活动。AI工具开发者应考虑滥用的可能性，并持续实施安全措施，防止其被用于犯罪目的。

~Natalia Idźkowska