AI原生开发平台如何被滥用于伪造验证码钓鱼页面
网络犯罪分子正在滥用Vercel、Netlify和Lovable等AI原生平台托管虚假验证码页面,这些页面用于欺骗用户、绕过检测并推动网络钓鱼活动。
关键发现
自1月份以来,趋势科技追踪到利用AI驱动平台(Lovable、Netlify、Vercel)托管虚假验证码页面的钓鱼活动激增,这些页面最终会跳转至钓鱼网站。这种手段既能误导用户,又能逃避安全工具的检测。
受害者首先会看到验证码页面,从而降低警惕性,而自动化扫描器仅能检测到挑战页面,无法发现隐藏的凭证窃取重定向。
攻击者利用这些平台易于部署、免费托管和可信品牌的特点实施攻击。防御者应培训员工识别基于验证码的钓鱼攻击,采用能够跟踪重定向链的分层防御措施,并监控受信任托管域名的滥用情况。
社交工程手段
钓鱼活动通常以包含紧急信息的垃圾邮件开始,例如"需要重置密码"或"USPS地址变更通知"。点击嵌入的URL会将目标重定向至看似无害的验证码验证页面(图1)。这种欺骗手段通过两种方式发挥作用:
- 延迟怀疑:通过首先呈现验证码挑战,受害者不太可能识别页面为恶意,从而降低警惕。
- 检测规避:爬取页面的自动化扫描器仅遇到验证码,而非底层凭证窃取表单,减少了被标记的可能性。
完成验证码后,受害者将被重定向至实际钓鱼页面,其凭证和其他敏感数据可能在此被盗。
AI驱动托管平台:双刃剑
Lovable、Netlify和Vercel等平台旨在简化开发并降低入门门槛。不幸的是,赋能开发者的相同优势也可能被攻击者利用:
- 易于部署:只需最少的技术技能即可设置逼真的虚假验证码站点。在Lovable上,攻击者可以使用 vibe coding 生成虚假验证码或钓鱼页面,而Netlify和Vercel则可以轻松在CI/CD管道中集成AI编码助手以大量生成虚假验证码页面。
- 免费托管:免费层的可用性降低了发起钓鱼操作的成本。
- 合法品牌:以*.vercel.app或*.netlify.app结尾的域名继承了平台声誉的可信度,攻击者可以加以利用。
数据统计
对三个平台滥用情况的分析显示网络犯罪活动分布如下:
- Vercel.app – 52个站点
- Netlify.app – 3个站点
- Lovable.app – 43个站点
趋势科技首次观察到滥用AI驱动Web开发平台托管虚假验证码页面的行为发生在1月份,活动从2月到4月急剧升级。尽管后续几个月垃圾邮件数量有所减少,但8月份此类钓鱼活动再次出现激增。
虚假验证码为何有效
虚假验证码代表了钓鱼策略的巧妙进步。它们能够:
- 建立心理信任:受害者认为他们正在完成常规验证步骤。
- 绕过安全工具:自动化爬虫和扫描器通常会忽略隐藏的钓鱼重定向。
结论
虚假验证码钓鱼的兴起突显了攻击者如何将AI驱动的网站创建平台武器化。虽然这些服务为合法开发者推动创新,但它们也可能为网络犯罪分子提供以最小成本快速大规模发起钓鱼攻击的工具。
为降低风险,组织应:
- 教育员工如何识别基于验证码的钓鱼尝试。
- 实施能够分析重定向链的防御措施。
- 监控受信任域名的滥用迹象。
- 设置具有扫描功能的电子邮件安全解决方案。
危害指标(IOC)
- captcha200[.]netlify.app
- adobepdfonlinereadercaptcharobot[.]netlify.app
- captchaweb3[.]netlify.app
- basvursana2025hemen[.]vercel.app
- web-orpin-xi[.]vercel.app
- web-pnrf[.]vercel.app
- captcha-link-gateway[.]lovable.app
- captcha-math-linker[.]lovable.app
- captcha-office-redirect[.]lovable.app
- get-new-pass[.]lovable.app