Les attaquants exploitent des plates-formes AI à faible code telles que Vercel, Netlify et aimables pour créer rapidement des sites de phishing qui semblent légitimes, trick les utilisateurs et contourner les outils de sécurité automatisés.
Dans une tentative d’échapper aux outils de sécurité, les cybercriminels exploitent désormais l’IA pour élaborer des campagnes de phishing sophistiquées en utilisant de fausses pages Captcha. Les pages semblent légitimes pour les utilisateurs, en contournant efficacement les filtres de sécurité et en capturant des informations sensibles.
Identifiés par Trend Micro, ces pages CAPTCHA générées par l’AI sont conçues pour imiter l’apparence et la fonctionnalité des systèmes de vérification authentiques. Les fausses pages CAPTCHA sont organisées sur de telles plateformes depuis janvier, et il y a eu un pic renouvelé dans ces types de campagnes de phishing en août.
Codage minimal, impact maximum
Des plates-formes telles que Lovable, Netlify et Vercel qui sont conçues pour simplifier le développement et les barrières inférieures à l’entrée pour créer et hôte des applications sont maintenant exploitées par les attaquants.
« Sur Lovable, les attaquants peuvent utiliser un codage d’ambiance pour générer une fausse page Captcha ou Phishing, tandis que Netlify et Vercel facilitent l’intégration des assistants de codage AI dans le pipeline CI / CD pour produire de faux pages CAPTCHA », a déclaré Trend Micro.
Outre la facilité de déploiement nécessitant des compétences techniques minimales, l’hébergement gratuit réduit le coût du lancement des opérations de phishing. De plus, avec des domaines se terminant * .vercel.app ou * .netlify.app, les attaquants héritent également de la crédibilité de la réputation de la plate-forme, que les attaquants peuvent exploiter.
« Contrairement aux pages de phishing traditionnelles, celles générées par l’AI sont une étape de vitesse et d’échelle plutôt que d’utiliser une nouvelle astuce technique », a déclaré Devroop Dhar, MD et co-fondateur chez Primus Partners. «Ils peuvent itérer et créer des pages d’apparence de marque très rapidement. Les sites de phishing prenaient du temps à créer, mais peuvent maintenant être générés et clonés dans de nombreux domaines en quelques minutes. Cela augmente le volume des attaques et le risque qu’un employé verra un faux convaincant.
Dhar a ajouté qu’il laisse également tomber le levier de compétences que les attaquants saisissent un modèle, ajuster quelques choses et sont soudainement capables de créer un kit de phishing qui a l’air professionnel.
Trend Micro a identifié 52 sites malveillants sur Vercel.App, comparé à 43 sur Lovable.App et 3 sur Netlify.App. Lovable a été la principale cible de ces abus, mais Vercel accueille actuellement encore plus de fausses pages CAPTCHA.
Le livre de jeu d’attaque
Les campagnes de phishing suivent un manuel familier au départ. Les victimes reçoivent généralement des e-mails de spam qui transportent des messages urgents orientés vers l’action tels que «réinitialisation de mot de passe requis» ou «changement de modification de l’adresse USPS».
Cliquer sur le lien intégré ne fait pas dire l’utilisateur directement sur un site de vol d’identification, mais charge plutôt ce qui semble être une page de vérification CAPTCHA inoffensive. Cela engage activement la victime, leur faisant sentir qu’ils effectuent un contrôle de sécurité légitime, ce qui réduit leurs soupçons et rend moins probable qu’ils reconnaissent la page comme frauduleuse.
Deuxièmement, les scanners automatisés rampant la page ne rencontrent qu’un captcha, et non la forme sous-jacente des informations d’identification, réduisant la probabilité que l’arnaque est signalée, notée Trend Micro.
Une fois le captcha terminé, la victime est redirigée vers la page de phishing réelle, où leurs informations d’identification et autres données sensibles peuvent être volées, telles que les informations d’identification Microsoft 365.
Renforcement des défenses
Les entreprises repensent les défenses alors que les campagnes de phishing axées sur l’IA dépassent les filtres hérités. Le MFA résistant à Passkeys et à phishing gagne du terrain, en particulier dans les services financiers et la technologie. Mais pour lutter contre la menace croissante des attaques de phishing axées sur l’IA, les organisations doivent adopter une approche de sécurité à plusieurs niveaux.
«Les stratégies les plus efficaces mélangent désormais la détection comportementale avec la responsabilité de la plate-forme. Les outils doivent être en mesure de simuler des clics et de suivre les redirectes, et les fournisseurs d’hébergement doivent construire des garanties qui empêchent les abus», a déclaré Sanchit Vir Gogia, PDG et analyste en chef de Greyhound Research.
Pourtant, la détection seule ne suffit pas. La résilience ultime réside dans la réduction de la valeur des informations d’identification volées par l’authentification résistante au phishing. Gogia a ajouté que les organisations doivent moderniser la formation, des exercices à cocher à l’immersion réaliste. Cela comprend des simulations de phishing avec des fronts Captcha, des politiques qui bloquent les domaines nouvellement enregistrés et une gouvernance stricte des connexions d’identité. L’objectif n’est pas d’empêcher chaque clic, mais de raccourcir l’heure de l’incident au confinement.
« Vous devez savoir si la page redirige soudainement vers un formulaire de connexion ou commence à tirer des données à partir de domaines indignes de confiance. Ces modèles sont plus difficiles à masquer pour les attaquants. Il faut également garder un œil sur le trafic sortant. Les données volées quittant le réseau sont souvent le premier signe », a ajouté Dhar.
La sensibilisation des utilisateurs reste la ligne de front. La formation des employés à repérer les défis suspects du CAPTCHA, vérifiez les URL avant d’interagir, comptez sur les gestionnaires de mots de passe qui ne seront pas automatiquement automatiquement sur les fausses pages et signalent rapidement que les anomalies restent essentielles.
