v0 is een indrukwekkende tool van Vercel, het team achter Next.js. Websites bouwen met AI kan bijna niet op een eenvoudigere manier, iets waar cyberaanvallers maar wat graag van gebruikmaken.
Dat blijkt uit een zojuist gepubliceerd onderzoek van Okta’s Threat Intelligence-team. De soort aanvallen ziet Okta als identity security-speler niet op een lichtzinnige manier: het betreft namelijk sites met nagemaakte inlogschermen.
Replica’s op aanvraag
Aanvallers zijn er volgens Okta Threat Intelligence in geslaagd om legitieme sign-ons van bekende bedrijven te simuleren. Het is normaliter een flinke klus of vergt op zijn minst veel expertise om een geloofwaardige fopvariant te bouwen van een inlogscherm. Dankzij v0 is het echter dermate eenvoudig geworden dat er replica’s van deze sites op aanvraag en vrijwel direct te bewonderen zijn.
Okta heeft dit fenomeen meermaals waargenomen, waaronder een enkele keer bij een Okta-klant. Microsoft 365 behoort tot de geïmiteerde merken, maar ook cryptosites blijken een aanlokkelijk masker voor kwaadwillenden. Op basis van nader onderzoek blijkt dat alles van nagemaakte bedrijfslogo’s tot andere backend resources binnen Vercel’s infrastructuur draaiden. Sommige kwaadwillende partijen kiezen er volgens Okta voor om al hun resources op een legitieme locatie te hosten, iets dat meer legitimiteit zou uitstralen dan wanneer het verspreid is. Daarnaast, zo stellen de onderzoekers, ontloopt men detectie op basis van het gebruik van bekend malafide IT-omgevingen.
Daarbovenop: de gestolen informatie betreft legitieme credentials. Hierdoor kunnen aanvallers ook tijdens hun infiltratie onopgemerkt binnenkomen en zich voordoen als een doodgewone gebruiker. Daarna volgt veelal het installeren van ransomware met alle gevolgen van dien. Een succesvolle phishingcampagne kan dus bijzonder lucratief zijn. Ook hoeven cyberaanvallers niet zelf de infiltratiepoging te doen; men kan zelf simpelweg de legitieme inlogdetails verkopen op de dark web.
Het probleem reikt verder
Naast v0 zijn ook andere apps en sites een lanceerplatform voor phishers. Denk aan GitHub-repositories die directe kopieën van v0.dev of zelfgebouwde alternatieven aanbieden. Dit alles draait andermaal op AI om zelfs de minst technische cyberaanvallers in staat te stellen hun foppagina’s te bouwen.
Hoe dan ook kunnen Okta-klanten terecht bij het Security Trust Center van het bedrijf om advies in te winnen. Kennis over actieve campagnes als deze is een belangrijke eerste stap naar het onschadelijk maken ervan. Echter lijkt de geest uit de fles nu open-source tools en AI-modellen voldoende vaardigheden leveren voor het bouwen van geloofwaardige sites. Zelfs als alle legitieme partijen hun best doen kwaadwillenden te weren van hun API’s en websites, is er nog steeds een aanzienlijke kans op phishing. Daarom pogen vele organisaties voornamelijk phishing-resistent te zijn, onder meer door MFA in te bouwen, zo min mogelijk privileges uit te delen aan accounts en nooit nieuwe endpoints zomaar te vertrouwen.
Lees ook: Okta breidt identiteitsbeveiliging uit naar niet-menselijke gebruikers