Angripare missbrukar tjänster som Vercel, Netlify och Lovable för att vara värdar för övertygande CAPTCHA-sidor. Dessa falska säkerhetskontroller omdirigerar användare till sidor som stjäl inloggningsuppgifter, vilket gör nätfiske svårare att upptäcka.
Så fungerar bluffen
Cyberkriminella utnyttjar lågkodade AI-plattformar för att snabbt lansera phishingkampanjer. De publicerar webbplatser med CAPTCHA-utmaningar som efterliknar legitima verifieringssteg. När användaren löst CAPTCHA:n omdirigeras de till falska inloggningsformulär.
Dessa skadliga webbplatser samlar in inloggningsuppgifter för allt från e-post till bankkonton. Genom att använda pålitliga värdtjänster framstår sidorna som mer trovärdiga.
Varför upptäckt misslyckas
Säkerhetsverktyg slutar ofta skanna efter att CAPTCHA-sidan laddats. Denna designbrist gör att de missar den dolda omdirigeringen. Resultatet blir att många nätfiskesidor passerar förbi försvaren.
Användare luras också eftersom de litar på CAPTCHA-utmaningar. De flesta ser dem som normala och säkra, vilket angriparna utnyttjar.
Växande kampanjer
Trend Micro rapporterar att phishingkampanjer som använder denna metod har ökat kraftigt under 2025. Aktiviteten växte stadigt från januari och nådde sin topp i augusti. Angripare förlitar sig nu på gratistjänster och AI-automation för att skala upp sina operationer med minimalt arbete.
Den enkla möjligheten att bygga phishing-sidor genom lågkodverktyg gör det möjligt för både erfarna hackare och oerfarna aktörer att driva kampanjer.
Skydd mot hotet
Användare bör alltid kontrollera webbadresser innan de löser CAPTCHA-utmaningar. Varje omdirigering till en inloggningssida bör väcka misstanke. Att aktivera multifaktorautentisering minskar skadan om inloggningsuppgifter stjäls.
Organisationer måste förbättra upptäckten. Säkerhetsverktyg bör följa omdirigeringar istället för att stanna vid CAPTCHA-sidor. Leverantörer bör också övervaka sina plattformar för missbruk.
Slutsats
AI-plattformars falska CAPTCHA-phishingkampanjer visar hur angripare utnyttjar förtroende. Genom att vara värdar för övertygande utmaningar på Vercel, Netlify och Lovable lurar de användare att lämna över inloggningsuppgifter. Medvetenhet, starkare skanningsverktyg och strikt övervakning är avgörande försvar.
0 svar till ”AI-plattformar: falska CAPTCHA-nätfiskekampanjer”