AI-platforme: falske CAPTCHA-phishingkampagner

Angribere misbruger tjenester som Vercel, Netlify og Lovable til at hoste overbevisende CAPTCHA-sider. Disse falske sikkerhedstjek omdirigerer brugere til sider, der stjæler legitimationsoplysninger, hvilket gør phishing sværere at opdage.

Sådan fungerer svindlen

Cyberkriminelle udnytter lavkodebaserede AI-platforme til hurtigt at iværksætte phishingkampagner. De offentliggør websteder med CAPTCHA-udfordringer, der efterligner legitime verificeringstrin. Når brugeren har løst CAPTCHA’en, bliver de omdirigeret til falske loginformularer.

Disse ondsindede sider indsamler legitimationsoplysninger til alt fra e-mail til bankkonti. Ved at bruge troværdige hostingtjenester fremstår siderne mere pålidelige.

Hvorfor opdages de ikke

Sikkerhedsværktøjer stopper ofte scanningen, når CAPTCHA-siden er indlæst. Denne designfejl forhindrer dem i at registrere den skjulte omdirigering. Resultatet er, at mange phishing-sider slipper igennem forsvaret.

Brugerne falder også for tricket, fordi de stoler på CAPTCHA-udfordringer. De fleste opfatter dem som normale og sikre, hvilket angriberne udnytter.

Eskalerende kampagner

Ifølge Trend Micro er phishingkampagner, der bruger denne taktik, steget markant i 2025. Aktiviteten voksede jævnt fra januar og toppede i august. Angribere benytter nu gratistjenester og AI-automatisering til at skalere deres operationer med minimal indsats.

Den nemme måde at bygge phishing-sider via lavkodeværktøjer gør det muligt for både erfarne hackere og uerfarne aktører at gennemføre kampagner.

Beskyttelse mod truslen

Brugere bør altid tjekke URL’er, før de løser CAPTCHA-udfordringer. Enhver omdirigering til en login-side bør vække mistanke. Aktivering af multifaktorgodkendelse hjælper med at begrænse skader, hvis legitimationsoplysninger bliver stjålet.

Organisationer skal forbedre deres detektion. Sikkerhedsværktøjer bør følge omdirigeringer i stedet for at stoppe ved CAPTCHA-sider. Udbydere bør desuden overvåge deres platforme for misbrug.

Konklusion

AI-platformes falske CAPTCHA-phishingkampagner viser, hvordan angribere udnytter tillid. Ved at hoste overbevisende udfordringer på Vercel, Netlify og Lovable narrer de brugere til at afgive legitimationsoplysninger. Bevidsthed, stærkere scanningsværktøjer og streng overvågning er afgørende forsvar.