北京
一个不懂代码的人,现在能在几分钟内做出足以乱真的微软登录页。这不是假设,而是安全研究人员正在记录的常态。
Cofense的安全分析师发现,自2022年以来,利用Vercel平台发起的钓鱼攻击呈急剧上升趋势,且这一势头延续至2025年仍未减缓。攻击者看中的并非Vercel本身的技术缺陷,而是其生成式AI工具v0.dev将钓鱼网站的制作门槛降到了历史最低点。
v0.dev的核心功能是将文字描述直接转化为可运行的网页。攻击者输入"创建一个带有官方标志和配色的微软登录页"这类简单指令,系统便能在数秒内输出功能完整的仿冒页面。这种自动化生成意味着,即使原始页面被关闭,攻击者也能瞬间生产新版本,无需重复编写提示词。
传统钓鱼攻击需要搭建独立服务器、从暗网购买工具包、维护后端系统。Vercel将托管、部署、页面生成整合为一站式服务,彻底替代了这套复杂基础设施。更棘手的是,平台支持与Telegram Bot API集成——当受害者在仿冒页面提交账号密码时,攻击者的Telegram账户会实时收到窃取信息,形成近乎全自动的数据窃取链条。
Cofense追踪的具体案例显示,攻击者曾冒充Adidas、Nike、Ferrari、Louis Vuitton等品牌的招聘人员,发送伪造的录用通知和面试邀请。这些邮件将受害者引导至虚假招聘页面,再跳转至仿冒的Facebook或Google登录入口。研究人员记录的一个Spotify登录页案例,其标志、配色方案、页面布局与官方版本高度一致。
被仿冒的品牌覆盖员工日常高频接触的服务:Microsoft、Spotify及主流招聘平台。这意味着企业用户与个人用户面临同等风险,而攻击者的技术背景分布从熟练黑客到完全新手不等——平台的易用性正在扩大威胁行为者的整体基数。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
