卡巴斯基:无代码AI工具正成为网络钓鱼新伪装
IT之家 3 月 26 日消息,卡巴斯基安全团队披露新型网络攻击手段,黑客正利用无代码 AI 建站平台 Bubble 生成并托管恶意网页应用,专门用于盗取微软账户凭证。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
IT之家注:Bubble 是一种允许用户无需编写代码,仅通过可视化界面或自然语言描述即可快速构建网页应用程序的合法商业平台。
黑客通过这种方式将用户重定向至高度伪装的微软登录门户,这些假冒页面有时还会刻意隐藏在 Cloudflare 的安全验证背后。
一旦用户在这些页面输入账号密码,黑客便能轻易获取凭证,进而肆意访问受害者的电子邮件、日历及其他存储在 Microsoft 365 中的敏感数据。
这种新型钓鱼手段之所以能频频得手,主要归功于巧妙滥用合法平台。Bubble 作为一个由 AI 驱动的无代码开发平台,支持用户通过自然语言描述自动生成应用的前后端逻辑。
生成的应用会统一托管在 Bubble 的基础设施及受信任的域名(*.bubble.io)下。电子邮件安全防护系统通常不会将此类高信誉域名标记为潜在威胁,因此包含这些链接的钓鱼邮件能够轻松穿透拦截网,直接送达目标用户的收件箱。
除了利用受信任的域名,这种攻击在底层代码层面也具备极强的反侦察能力。卡巴斯基研究人员指出,由 Bubble 平台自动生成的代码本质上是大量复杂 JavaScript 与孤立影子 DOM(文档对象模型)结构的混合体。
常规的静态扫描和自动化网页代码分析算法在处理这些庞杂的代码时往往会陷入逻辑混乱,最终错误地将其判定为功能正常的实用 。即便是经验丰富的安全专家,也需要耗费大量精力进行深度逆向分析,才能看透其真实的恶意目的。
研究人员警告,该策略未来极有可能被“钓鱼即服务”(PhaaS)黑产平台大规模采纳,并被无缝整合到低阶网络罪犯广泛使用的傻瓜式钓鱼工具包中。
鉴于这些黑产平台目前已经集成了会话 Cookie 盗取、绕过双重认证(2FA)等高级技术,滥用合法 AI 平台的加入无疑将使防御难度呈指数级上升。
参考
相关攻略
IT之家 3 月 27 日消息,据《商业内幕》今日报道,马克 · 扎克伯格正试图令 Meta 彻底转型为一家“AI 原生”公司。一份内部文件显示,Meta 正在通过设定明确指标,推动员工在工作中更深
机器之心发布一款 “反直觉” 的产品,往往最能折射一个产业的真实需求。3 月 25 日,硅心科技(aiXcoder)发布了一款专为「代码变更应用」场景设计的高性能、轻量级模型 aiX-apply-4
IT之家 3 月 27 日消息,科技媒体 Android Authority 今天发布博文,通过挖掘安卓 17 Beta 3 代码,发现了“优先充电”新功能,可以暂停后台活动以加快充电速度。IT之家
IT之家 3 月 27 日消息,GitHub 周三宣布,将从 4 月 24 日起更新 Copilot 交互数据的使用政策。届时,Copilot Free、Pro 及 Pro+ 用户的交互数据 ——
财联社3月27日讯(编辑 马兰)Meta在人工智能推广过程中不遗余力,据一份内部文件显示,该公司正要求员工在诸如编码等任务中提高使用人工智能的频率。该文件指出,Meta负责构建和维护核心创意体验的创
热门专题
热门推荐
猎豹浏览器免安装网页版入口是https: web lemur-browser com,具备界面简洁响应迅速、多端同步无缝衔接、安全防护层级丰富、文档处理能力突出、资源兼容性广泛覆
据昆仑万维集团消息,3月27日下午,昆仑万维(300418 SZ)旗下天工AI顺利举办“世界模型前沿技术与天工AIGC全家桶大模型生态”专场发布会,携Matrix-Game 3 0、SkyReels
本报(chinatimes net cn)记者石飞月 北京报道大模型未来会走向哪里?OpenClaw的爆火似乎为全行业指明了一个方向,但接踵而至的舆论质疑,又让这个答案变得扑朔迷离。3月27日,在2
Anthropic一款尚未发布的新AI模型因数据泄露意外曝光,引发市场对AI颠覆网络安全行业的担忧再度升温,网络安全板块股价周五盘前全线下挫。据《财富》杂志报道,Anthropic正在开发并已开始向
3月初,腾讯在深圳总部楼下设立“龙虾站”,引发千人排队尝鲜。OpenClaw掀起的“全民养虾”热潮,在短短一个月内让更多人看到了AI Agent深入业务场景的价值,随即推动Token调用量大规模增长