北京
卡巴斯基最近披露了一桩挺有"产品思维"的犯罪手法——黑客盯上了无代码AI建站平台Bubble,把它变成了批量生产钓鱼网站的流水线。
Bubble本身是正经生意。打个比方,它就像餐饮界的预制菜中央厨房:用户不用会炒菜(写代码),描述一下想要什么口味,系统自动配好料包、调好火候,成品直接端上桌。问题是,这套高效的生产体系现在被黑客整个搬走了。
攻击链路设计得相当精巧。黑客在Bubble上"描述需求",平台自动生成一个伪装成微软登录页的应用,托管在*.bubble.io域名下。这个域名自带平台信誉背书,邮件安全系统一看是"正规军",直接放行。页面有时还套一层Cloudflare的验证,用户看到安全锁标志,警惕性又降一档。
输入账号密码的那一刻,数据就进了黑客的后台。微软365里的邮件、日历、文件,全部敞开。
更麻烦的是溯源难度。Bubble自动生成的代码像一锅乱炖——大量JavaScript混杂着影子DOM结构,静态扫描工具读到这里直接"死机",误判为正常网站。安全专家想拆穿它,得手动做深度逆向,成本极高。
卡巴斯基预警,这种手法很可能被"PhaaS"(钓鱼即服务)黑产平台标准化,打包进傻瓜工具包向下游贩卖。考虑到黑产已经集成了Cookie盗取、绕过2FA等高级功能,防御方的工作量正在指数级膨胀。
一个值得玩味的细节:Bubble的商业模式建立在"降低技术门槛"之上,而这个卖点恰恰成了攻击者的温床。产品设计的双刃剑效应,这次切得有点深。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
