Cyberprzestępcy wykorzystują generatory stron AI do kampanii phishingowych

Narzędzia takie jak Lovable pozwalają każdemu budować przy pomocy jednego prompta i hostować strony przy minimalnej lub zerowej wiedzy programistycznej. Zostały zaprojektowane tak, aby uprościć rozwój i obniżyć barierę wejścia. Niestety, te same zalety, które wspierają deweloperów i osoby mniej techniczne, mogą być także wykorzystywane przez atakujących. Trend Micro zaobserwowało wzrost liczby fałszywych stron z captchą tworzonych i hostowanych na platformach wspieranych sztuczną inteligencją. Według badaczy służą one jako punkty wejścia do kampanii phishingowych.

Atak w takich kampaniach rozpoczyna się dość standardowo, od wiadomości e-mail z komunikatem o wymaganym resecie hasła albo niedostarczonej przesyłce. Kliknięcie linku kieruje ofiarę do strony z fałszywą weryfikacją captchą.

Co ciekawe, wpisanie niepoprawnej odpowiedzi skutkuje wyświetleniem informacji o błędzie. Jest to element socjotechniki mający sprawiać wrażenie rzeczywistej weryfikacji i tym samym wzbudzać zaufanie. Po ukończeniu captchy ofiara jest przekierowywana do właściwej strony phishingowej, która wykrada dane uwierzytelniające.

adacze po raz pierwszy zaobserwowali użycie usług AI do tworzenia stron przez cyberzbójów w styczniu. Aktywność gwałtownie wzrosła w lutym, a następnie sukcesywnie spadała aż do gwałtownego wzrostu w sierpniu br.

Swoje badania w tym temacie opublikowało również Proofpoint. Na początku tego roku badacze testowali możliwość tworzenia fałszywych strony na Lovable z funkcjami imitującymi znane oprogramowanie korporacyjne w celu kradzieży danych uwierzytelniających, nie napotykając przy tym na żadne ograniczenia lub błędy. 

Proofpoint zgłosił  swoje ustalenia firmie Lovable. Setki podejrzanych domen zostało usuniętych przez Lovable w tym samym tygodniu. Firma poinformowała również, że wdrożyła zabezpieczenia oparte na AI, mające na celu uniemożliwienie cyberprzestępcom tworzenie stron. Według firmy, w lipcu 2025 wprowadzono zarówno wykrywanie w czasie rzeczywistym, aby zapobiec tworzeniu złośliwych stron w momencie wprowadzania poleceń przez użytkowników, jak i codzienne automatyczne skanowanie opublikowanych projektów w celu oznaczania tych potencjalnie złośliwych. Lovable poinformowało również, że planuje w tym roku jesienią wdrożyć dodatkowe zabezpieczenia dotyczące kont użytkowników, aby identyfikować oszukańcze działania i proaktywnie blokować użytkowników. Brzmi dobrze jednak wygląda na to, że cyberzbóje znaleźli już na to obejście i są to właśnie strony z ‚‚niewinną” captchą, której rozwiązanie przekierowuje na właściwą stronę phishingową.

Do uruchomienia przekonujących fałszywych stron z captchą wymagane są minimalne umiejętności techniczne. Na Lovable atakujący mogą używać vibe codingu (czyli wykorzystywać AI do generowania kodu na podstawie promptów), a platformy takie jak Netlify i Vercel umożliwiają łatwą integrację asystentów kodowania AI w procesie CI/CD, aby masowo generować fałszywe strony captcha. Darmowy hosting dodatkowo obniża koszty rozpoczęcia operacji phishingowych. Domeny kończące się na *.vercel.app lub *.netlify.app też nie wyglądają podejrzanie, bazując na reputacji znanych i popularnych platform. To wszystko sprawia, że są to niestety ‚‚świetne” narzędzia do uruchamiania phishingu na dużą skalę, szybko i przy minimalnych kosztach (to nie jest porada phishingowa).

Dzięki automatycznym narzędziom do tworzenia stron internetowych cyberprzestępcy będą mogli poświęcić więcej czasu na przygotowanie ataku i ulepszenie socjotechniki. W przyszłości możemy spodziewać się lepiej dopracowanych, a co z tym idzie trudniejszych do wykrycia i rozpoznania  kampani phishingowych. Twórcy narzędzi AI powinni brać pod uwagę możliwości nadużyć i na bieżąco wdrażać zabezpieczenia zapobiegające ich wykorzystywaniu do celów przestępczych. 

~Natalia Idźkowska