AI原生开发平台如何被滥用于伪造验证码钓鱼页面

主要发现

自1月份以来，趋势科技追踪到利用AI驱动平台（Lovable、Netlify、Vercel）托管虚假验证码页面的钓鱼活动激增，这些页面最终导向钓鱼网站。这种手法误导用户并规避安全工具检测。

受害者首先看到验证码页面，降低了怀疑度，而自动化扫描器仅检测到挑战页面，错过了隐藏的凭据窃取重定向。

攻击者利用这些平台的易部署性、免费托管和可信品牌形象进行攻击。

防御者应培训员工识别基于验证码的钓鱼攻击，采用能够跟踪重定向的分层防御，并监控受信任托管域的滥用情况。

人工智能彻底改变了网站开发，即使新手用户也能创建专业外观的网站。像Lovable这样的工具使几乎无需编码知识的用户也能构建和托管应用程序，而Netlify和Vercel则定位为AI原生开发平台。然而，网络犯罪分子越来越多地利用这些服务创建和托管虚假验证码挑战网站，作为钓鱼活动的入口点。

自1月份以来，趋势科技观察到在此类平台上托管的虚假验证码页面有所增加。这些骗局构成双重威胁：既误导用户又规避自动化安全系统。

钓鱼活动通常从携带紧急消息的垃圾邮件开始，例如：“需要重置密码"或"USPS更改地址通知”，这些是此类攻击的标准策略。

点击嵌入的URL会将目标定向到一个看似无害的验证码验证页面（见图1）。这种欺骗手法以两种方式运作：

一旦验证码完成，受害者将被重定向到实际的钓鱼页面，其凭据和其他敏感数据可能在此被窃取。

像Lovable、Netlify和Vercel这样的平台旨在简化开发并降低进入门槛。不幸的是，赋能开发人员的相同优势也可能被攻击者利用：

易于部署：设置逼真的虚假验证码网站所需的技术技能极少。在Lovable上，攻击者可以使用氛围编码生成虚假验证码或钓鱼页面，而Netlify和Vercel使得在CI/CD管道中集成AI编码助手以大量生成虚假验证码页面变得简单
免费托管：免费层的可用性降低了启动钓鱼操作的成本
合法品牌：以*.vercel.app或*.netlify.app结尾的域名从平台声誉中继承了可信度

我们对三个平台上滥用情况的分析揭示了网络犯罪活动的以下分布：

虽然Proofpoint之前报道过AI驱动网站构建器的滥用情况，但他们的发现主要强调Lovable。同时，趋势数据显示Vercel尤其托管了更多虚假验证码页面。虽然Lovable在氛围编码者中更受欢迎，但Vercel和Netlify存在时间更长，威胁行为者可能对它们更熟悉。

我们首次观察到滥用AI驱动的网站开发平台托管虚假验证码页面是在1月份，活动从2月到4月急剧升级。尽管随后几个月的垃圾邮件量有所下降，但8月份这类钓鱼活动出现了新的激增。

虚假验证码代表了钓鱼策略的巧妙进步。它们：

虚假验证码钓鱼的兴起突显了攻击者如何将AI驱动的网站创建平台武器化。虽然这些服务为合法开发者推动创新，但它们也可以为网络犯罪分子提供以最小成本快速大规模发起钓鱼攻击的工具。

为降低风险，组织应：

教育员工如何识别基于验证码的钓鱼尝试。包括教育他们在与验证码交互前验证URL，使用密码管理器（不会在钓鱼网站上自动填充），并报告可疑页面
实施能够分析重定向链的防御措施。例如，组织可以部署如Trend Vision One™这样的安全工具，可以评估出站连接并阻止访问已知滥用的域，即使它们最初看起来合法
监控受信任域的滥用迹象，通过跟踪其子域的流量，将日志与威胁情报源关联，为可疑活动设置自动警报或阻止，并向提供商报告恶意实例以进行删除
设置具有扫描功能的电子邮件安全解决方案（如Trend Vision One™电子邮件和协作安全），以检测并主动阻止包含可疑内容的电子邮件

如本文所示，威胁超出了单个AI开发平台服务，强调了保持警惕的必要性：看似无害的数学谜题实际上可能是高效钓鱼陷阱的入口点。