北京
卡巴斯基最近抓到一个新套路:有人用无代码 AI 建站工具 Bubble,像搭积木一样搭出假的微软登录页,专门偷账号密码。
Bubble 本身是正经生意——你不用写代码,拖拖拽拽或者打几行字描述需求,它就能帮你生成一个完整网站。问题就出在这份"正经"上。黑客搭好的钓鱼页面,天生带着 *.bubble.io 的域名后缀,邮件安全系统一看:老熟人啊,过。于是这些链接大摇大摆进了用户收件箱。
更阴的是第二层伪装。假页面有时候还套个 Cloudflare 验证,用户看到那个转圈圈的安全检查,警惕心先降了一半。输入账号密码的瞬间,数据就进了黑客后台。你的邮件、日历、OneDrive 里的文件,全成了明牌。
卡巴斯基的研究人员拆解后发现,Bubble 自动生成的代码是一团复杂的 JavaScript 和影子 DOM 的混合物。静态扫描工具面对这堆机器产物,基本处于"看不懂但觉得很厉害"的状态,直接放行。安全专家想手工分析?得先花大力气做逆向,成本极高。
这事的可怕之处在于门槛。以前搭钓鱼网站多少要懂点技术,现在会打字就行。研究人员担心,这种手法很快会被"钓鱼即服务"的黑产平台收编,打包进那种点几下鼠标就能开工的傻瓜工具里。再结合现有的 Cookie 盗取、绕过双因素认证等技术,防御方的压力会成倍增加。
一个值得留意的细节:卡巴斯基在报告中提到,部分受害者在发现异常前,已经持续使用假登录页长达数周——因为页面实在太像真的了。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
