Een dienst om gratis websites te bouwen door middel van een aantal ai-prompts, wordt massaal gebruikt om phishing websites te creëren.
De gratis websitebouwer Lovable, waarmee gebruikers met ai snel sites kunnen creëren, wordt op grote schaal misbruikt door cybercriminelen om websites te maken voor phishing. De Lovable-techniek verlaagt de drempel voor cybercriminelen aanzienlijk, waardoor het eenvoudig wordt om websites te maken of te kopiëren die zich voordoen als bekende merken, CAPTCHA te gebruiken voor filtering en inloggegevens op Telegram te plaatsen, zo meldt cybersecurityspecialist Proofpoint in een rapport.
Proofpoint zegt elke maand honderdduizenden Lovable url’s te hebben waargenomen die als bedreigingen werden gedetecteerd in e-mailgegevens, met een toenemende frequentie sinds februari 2025. Talrijke campagnes zijn waargenomen waarbij gebruik wordt gemaakt van Lovable-services ‘voor het verspreiden van multifactorauthenticatie-phishing-kits zoals Tycoon, malware zoals cryptocurrency-wallet-drainers en phishing-kits gericht op creditcard- en persoonlijke gegevens.’
Gratis gekopieerde sites
De websitebouwer gebruikt taalprompts om sites te maken. ‘De app biedt ook hosting voor gemaakte websites met het domein lovable[.]app. De service is gratis voor vijf prompts per dag, maar de prompts kunnen erg lang en geavanceerd zijn. Hierdoor kan elke prompt gebruikt worden om een volledige website te maken.’
Websites die met een gratis account worden gemaakt, zijn herkenbaar aan een ‘Edit with Lovable’-melding. ‘Alleen betalende klanten kunnen de melding verwijderen en projecten privé maken. Zulke klanten kunnen ook aangepaste domeinen toevoegen, terwijl die sites nog steeds door Lovable worden gehost.’
Lovable website spoofing
De beveiliger kon zelf ook eenvoudig websites namaken. ‘Met slechts één of twee prompts konden onze onderzoekers volledig functionele phishing-sites creëren, inclusief backend-logica, en een werkend ClickFix-project.’ Ook functies die zich voordeden als prominente bedrijfssoftware om inloggegevens te stelen, waren in een handomdraai toegevoegd.
Bij het maken van deze website spoofing stuitten de onderzoekers op geen enkele beveiliging of foutmelding. Gebruik van zulke nepsites via de gratis bouwer zijn door de beveiliger al in sms-berichten waargenomen, ‘waaronder investeringszwendel en phishing van bankgegevens.’
Lovable laat aan de beveiliger weten dat het met nieuwe beveiligingsupdates dit soort misbruik terug wil dringen.
Cybersec Netherlands
De recente ontwikkeling op het gebied van cybersecurity komen ruim aan bod komen tijdens Cybersec Netherlands. De vakbeurs vindt dit jaar plaats op 10 en 11 september in het congresgebouw Koninklijke Jaarbeurs in Utrecht. Inschrijven kan hier en is gratis.
