AI网络钓鱼新手段：利用虚假验证码页面逃避检测

网络犯罪分子正在利用AI技术制作包含虚假验证码页面的复杂网络钓鱼活动，以规避安全工具检测。这些页面对用户显示为合法验证系统，能有效绕过安全过滤器并窃取敏感信息。

低代码平台沦为攻击工具

根据趋势科技发现，攻击者正在利用Vercel、Netlify和Lovable等低代码AI平台快速构建看起来合法的钓鱼网站。这些平台原本旨在简化开发流程，现在却被攻击者滥用。

“在Lovable平台上，攻击者可以使用氛围编程生成虚假验证码或钓鱼页面，而Netlify和Vercel则可以轻松将AI编程助手集成到CI/CD流水线中，批量生产虚假验证码页面。“趋势科技表示。

除了部署简单、技术要求低之外，免费托管降低了发起钓鱼操作的成本。使用以*.vercel.app或*.netlify.app结尾的域名，攻击者还能借助平台声誉获得可信度。

这些钓鱼活动遵循熟悉的攻击剧本。受害者通常会收到包含紧急行动信息的垃圾邮件，如"需要重置密码"或"USPS地址变更通知”。

点击嵌入链接后，用户不会直接进入凭证窃取网站，而是加载看似无害的验证码验证页面。这会让受害者产生正在完成合法安全检查的错觉，降低他们的警惕性。

趋势科技指出，自动扫描程序在爬取页面时只会遇到验证码，而不会发现底层的凭证收集表单，从而降低了诈骗被标记的可能性。

完成验证码后，受害者将被重定向到实际的钓鱼页面，他们的Microsoft 365凭证等敏感数据可能在此被盗取。

随着AI驱动的钓鱼活动突破传统过滤器，企业正在重新考虑防御策略。密码钥匙和抗钓鱼多因素认证正在获得关注，特别是在金融服务和科技行业。

“最有效的策略现在将行为检测与平台责任相结合。工具必须能够模拟点击并跟踪重定向，托管提供商必须建立防止滥用的保障措施。“Greyhound Research首席执行官Sanchit Vir Gogia表示。

然而，仅靠检测是不够的。最终的韧性在于通过抗钓鱼认证降低被盗凭证的价值。组织必须将培训从勾选练习转变为实际沉浸式体验，包括带有验证码前端的钓鱼模拟、阻止新注册域名的策略以及严格的身份登录治理。

用户意识仍然是第一道防线。培训员工识别可疑验证码挑战、在交互前验证URL、依赖不会在假页面上自动填充的密码管理器，以及及时报告异常情况仍然至关重要。