O Okta Threat Intelligence observou agentes de ameaças abusando do v0, uma ferramenta de Inteligência Artificial Generativa (GenAI) inovadora criada pela Vercel, para desenvolver sites de phishing que se passam por páginas da Web de login legítimas.
Essa observação sinaliza uma nova evolução na utilização de IA generativa como arma por agentes de ameaça que demonstraram a capacidade de gerar um site de phishing funcional a partir de simples comandos de texto. Pesquisadores da Okta conseguiram reproduzir nossas observações.
O v0.dev da Vercel é uma ferramenta baseada em IA que permite aos usuários criar interfaces web usando prompts de linguagem natural. A Okta observou essa tecnologia sendo usada para construir réplicas das páginas de login legítimas de várias marcas, incluindo um cliente Okta.
Investigações adicionais revelaram que recursos de páginas de phishing, incluindo logotipos de empresas imitadas, também estavam hospedados na infraestrutura da Vercel. Os agentes de ameaças, às vezes, hospedam todos os elementos de um site de phishing dentro da mesma plataforma confiável para fazer com que o site pareça mais legítimo. Esta é uma tentativa de evitar a detecção com base em recursos extraídos de registros de CDN ou hospedados em infraestrutura díspare ou conhecida como maliciosa.
A Vercel restringiu o acesso aos sites de phishing identificados e trabalhou com a Okta em métodos de relatórios de infraestrutura de phishing adicional.
A atividade observada confirma que os agentes de ameaça de hoje estão ativamente experimentando e armando ferramentas GenAI líderes para agilizar e aprimorar suas capacidades de phishing. O uso de uma plataforma como o v0.dev da Vercel permite que atores de ameaça emergente produzam rapidamente páginas de phishing enganosas de alta qualidade, aumentando a velocidade e a escala de suas operações.
Al
m da plataforma v0.dev da Vercel, v
rios reposit
rios p
blicos do GitHub oferecem clones diretos do aplicativo v0.dev ou guias do tipo fa
a voc
mesmo (DIY) para construir ferramentas generativas personalizadas. Esta prolifera
o de c
digo aberto democratiza efetivamente as capacidades avan
adas de phishing, fornecendo as ferramentas para que os advers
rios criem sua pr
pria infraestrutura de phishing.
A Okta Threat Intelligence também observou agentes de ameaças abusando da plataforma Vercel para hospedar vários sites de phishing, se passando por marcas legítimas, incluindo Microsoft 365 e empresas de criptomoedas. Clientes Okta podem acessar o comunicado de segurança detalhado no Security Trust Center.
Recomendações aos clientes
Este incidente destaca um novo vetor crítico no cenário de phishing. À medida que as ferramentas de IA generativa se tornam mais poderosas e acessíveis, as organizações e suas equipes de segurança devem se adaptar à realidade de ataques de engenharia social e coleta de credenciais orientados por IA.
As organizações não podem mais confiar em ensinar os usuários a identificar sites de phishing suspeitos com base na imitação imperfeita de serviços legítimos. A única defesa confiável é vincular criptograficamente o autenticador de um usuário ao site legítimo no qual ele se inscreveu.
Esta é a técnica que alimenta o Okta FastPass, o método sem senha integrado ao Okta Verify. Quando a resistência ao phishing é aplicada na política, o autenticador não permitirá que o usuário faça login em nenhum recurso além da origem (domínio) estabelecida durante a inscrição. Simplificando, o usuário não pode ser enganado a entregar suas credenciais a um site de phishing.
O Okta Threat Intelligence recomenda as seguintes táticas de defesa:
Imponha autenticação resistente a phishing: configure sua organização para exigir autenticação resistente a phishing — como o Okta FastPass, que oferece garantia de segurança adicional contra ameaças baseadas em credenciais — e priorize a desativação de fatores antigos e menos seguros. Saiba mais sobre a prevenção de phishing em nosso guia abrangente.
Vincular o acesso a dispositivos confiáveis: As políticas de autenticação podem ser usadas para restringir o acesso a contas de usuário com base em uma variedade de pré-requisitos configuráveis pelo cliente. Recomendamos que os administradores restrinjam o acesso a aplicativos e dados confidenciais apenas aos dispositivos registrados no Okta ou gerenciados por ferramentas de endpoint Management e que tenham uma postura de segurança forte. Isso pode impedir que um invasor munido de credenciais roubadas acesse recursos confidenciais.
Exija autenticação em vários níveis para acesso anômalo: as Okta Network Zones podem ser usadas para controlar o acesso por local, ASN (Número do Sistema Autônomo), IP e se o endereço IP está associado a serviços de anonimato. O Okta Behavior Detection pode ser usado para acionar a autenticação em vários níveis, negar o acesso ou acionar outros fluxos de trabalho quando o comportamento de login de um usuário se desvia de um padrão de atividade anterior.
Aprimorar a conscientização sobre segurança: Aprimore o treinamento interno de conscientização sobre segurança para levar em conta as ameaças geradas por IA.
Para saber mais sobre essas ameaças e como se manter seguro, visite o aviso de segurança em nosso Centro de Confiança em Segurança (para clientes Okta). Para as últimas notícias e insights em identidade e segurança, inscreva-se em nossa newsletter Access Granted do LinkedIn.
