Дослідники Trend Micro зафіксували сплеск фішингових кампаній, у яких AI-платформи розробки (зокрема Lovable, Netlify, Vercel**) використовують для розміщення **підроблених сторінок CAPTCHA. Такі сторінки вводять користувачів в оману, знижують пильність і водночас уникають спрацювань автоматичних сканерів безпеки.
Типовий сценарій починається зі спам-листа з терміновим повідомленням — на кшталт *Password Reset Required* або *USPS Change of Address Notification*. Перейшовши за посиланням, жертва потрапляє на нібито безпечну сторінку перевірки “I’m not a robot”.
Після проходження “перевірки” користувача перенаправляють на справжню фішингову форму, де збирають облікові дані та іншу чутливу інформацію.
Для антивірусів і сканерів перша сторінка виглядає безпечною (відображається лише CAPTCHA), тому зменшується ймовірність блокування.
Запуск таких фейкових CAPTCHA потребує мінімальних скілів: достатньо “vibe-coding”/AI-асистентів, аби швидко штампувати сторінки на популярних хостингах.
Trend Micro підкреслює: сервіси, що справедливо стимулюють інновації для легальних девелоперів, паралельно дають масштаб і низьку собівартість для кіберзлочинців.
Що робити організаціям і користувачам:
Перевіряйте URL до взаємодії з будь-якою CAPTCHA;
Використовуйте менеджери паролів без автозаповнення на незнайомих сайтах;
Репортуйте підозрілі сторінки й навчайте співробітників розпізнаванню таких ланцюжків.
CAPTCHA — базова перевірка “людина чи бот”, один із наймасовіших бар’єрів проти автоматизованих зловживань. AI-нативні платформи спростили створення та хостинг веб-сторінок без глибокого кодування, чим і користуються фішери: Lovable дозволяє швидко збирати й публікувати застосунки, Netlify та Vercel позиціонуються як платформи для сучасної (у т.ч. AI-підсиленої) розробки. З січня дослідники відстежують серію кампаній, де саме ці сервіси використовують як стартову “вітрину” з фейковою CAPTCHA.
Фейкова CAPTCHA від “AI-дев”-хостингу стала новим вхідним пунктом фішингу: вона одночасно притуплює увагу користувача та маскує артефакти від сканерів. Компаніям потрібні процедури перевірки посилань, політика менеджерів паролів, тренінги та репортинг, а постачальникам хостингу — проактивні фільтри зловживань і швидка модерація. Користувачам слід ставитися до CAPTCHA як до нейтрального екрана, а не маркера безпеки: довіряємо лише домену, а не “галочці”.
