Angripere misbruker tjenester som Vercel, Netlify og Lovable til å være vert for overbevisende CAPTCHA-sider. Disse falske sikkerhetskontrollene videresender brukere til sider som stjeler påloggingsinformasjon, noe som gjør phishing vanskeligere å oppdage.
Slik fungerer svindelen
Cyberkriminelle utnytter lavkodebaserte AI-plattformer til raskt å lansere phishingkampanjer. De publiserer nettsteder med CAPTCHA-utfordringer som etterligner legitime verifiseringstrinn. Når brukeren har løst CAPTCHA-en, blir de videresendt til falske innloggingsskjemaer.
Disse ondsinnede sidene samler inn legitimasjon for alt fra e-post til bankkontoer. Ved å bruke pålitelige hostingtjenester fremstår sidene som mer troverdige.
Hvorfor oppdagelsen feiler
Sikkerhetsverktøy stopper ofte skanningen etter at CAPTCHA-siden er lastet. Denne designsvakheten gjør at de ikke oppdager den skjulte videresendingen. Resultatet er at mange phishing-sider slipper forbi forsvarssystemene.
Brukere lar seg også lure fordi de stoler på CAPTCHA-utfordringer. De fleste ser dem som normale og trygge, noe angriperne utnytter.
Voksende kampanjer
Trend Micro rapporterer at phishingkampanjer som bruker denne taktikken har økt kraftig i 2025. Aktiviteten vokste jevnt fra januar og nådde en topp i august. Angripere benytter seg nå av gratistjenester og AI-automatisering for å skalere opp operasjonene med minimal innsats.
Den enkle måten å bygge phishing-sider med lavkodeverktøy gjør det mulig for både erfarne hackere og uerfarne aktører å kjøre kampanjer.
Beskyttelse mot trusselen
Brukere bør alltid sjekke nettadresser før de løser CAPTCHA-utfordringer. Enhver videresending til en innloggingsside bør vekke mistanke. Å aktivere multifaktorautentisering bidrar til å redusere skade dersom påloggingsinformasjon blir stjålet.
Organisasjoner må forbedre oppdagelsen. Sikkerhetsverktøy bør følge videresendinger i stedet for å stoppe ved CAPTCHA-skjermbilder. Leverandører bør også overvåke sine plattformer for misbruk.
Konklusjon
AI-plattformers falske CAPTCHA-phishingkampanjer viser hvordan angripere utnytter tillit. Ved å hoste overbevisende utfordringer på Vercel, Netlify og Lovable lurer de brukere til å gi fra seg påloggingsinformasjon. Bevissthet, sterkere skanningsverktøy og streng overvåkning er avgjørende forsvar.
0 svar til “AI-plattformer: falske CAPTCHA-phishingkampanjer”