Wzrost nadużyć platformy Vercel w kampaniach phishingowych - Security Bez Tabu

Wzrost nadużyć platformy Vercel w kampaniach phishingowych

Cybersecurity news

Wprowadzenie do problemu / definicja

Cyberprzestępcy coraz częściej wykorzystują legalne platformy hostingowe i narzędzia deweloperskie do prowadzenia kampanii phishingowych. Jednym z najnowszych przykładów jest rosnące użycie infrastruktury Vercel do hostowania fałszywych stron logowania, stron pośredniczących oraz komponentów wspierających kradzież danych uwierzytelniających.

Problem ma istotne znaczenie dla organizacji, ponieważ ataki osadzone w zaufanych usługach chmurowych są trudniejsze do wykrycia zarówno przez użytkowników, jak i przez tradycyjne mechanizmy ochrony poczty, sieci oraz przeglądarek. W praktyce oznacza to, że sama reputacja dostawcy hostingu przestaje być wystarczającym sygnałem bezpieczeństwa.

W skrócie

Badacze bezpieczeństwa odnotowali wyraźny wzrost wykorzystania Vercel w kampaniach phishingowych. Atakujący korzystają z legalnej i szeroko stosowanej infrastruktury do szybkiego publikowania stron podszywających się pod znane marki, portale logowania oraz formularze biznesowe.

  • Fałszywe witryny są hostowane w rozpoznawalnej infrastrukturze chmurowej.
  • Strony korzystają z poprawnie działającego HTTPS, co zwiększa wiarygodność w oczach ofiar.
  • Proste filtry reputacyjne mają większy problem z wykrywaniem takich kampanii.
  • Atakujący mogą szybko modyfikować treść i rotować zasoby wykorzystywane w oszustwie.

Z perspektywy obrony oznacza to konieczność przesunięcia akcentu z oceny samej domeny lub hosta na analizę treści, kontekstu logowania oraz odporne mechanizmy uwierzytelniania.

Kontekst / historia

Wykorzystanie legalnych usług chmurowych do cyberataków nie jest nowym zjawiskiem. Od lat przestępcy nadużywają popularnych platform SaaS, CDN, narzędzi do tworzenia stron oraz usług przechowywania plików, aby ukryć złośliwą infrastrukturę w normalnym ruchu internetowym.

Vercel jest szczególnie atrakcyjny z perspektywy operatorów phishingu, ponieważ umożliwia bardzo szybkie wdrażanie aplikacji webowych, wygodne publikowanie treści i łatwe zarządzanie frontendem. Środowisko zaprojektowane do nowoczesnego developmentu może więc zostać użyte do hostowania fałszywych paneli logowania, stron przechwytujących dane, a nawet bardziej złożonych łańcuchów ataku.

Na znaczeniu zyskuje też szerszy trend nadużywania generatorów stron oraz narzędzi wspieranych przez AI. Dzięki nim tworzenie przekonujących kopii witryn znanych marek staje się szybsze, tańsze i dostępne także dla mniej zaawansowanych technicznie grup przestępczych.

Analiza techniczna

Technicznie kampanie tego typu bazują na kilku powtarzalnych elementach. Najpierw atakujący przygotowują stronę phishingową imitującą legalny portal logowania lub formularz biznesowy. Dzięki nowoczesnym frameworkom frontendowym oraz gotowym komponentom UI odtworzenie wyglądu oryginalnej witryny jest szybkie i relatywnie tanie.

Następnie złośliwa strona jest publikowana w legalnej infrastrukturze chmurowej. Daje to operatorom kampanii szereg korzyści operacyjnych:

  • ruch do strony wygląda mniej podejrzanie,
  • witryna korzysta z prawidłowego certyfikatu TLS i szyfrowanego połączenia,
  • adres osadzony na znanej platformie może skuteczniej omijać proste mechanizmy filtrujące,
  • operator może szybko aktualizować treść, formularze i logikę działania strony.

Kolejny etap to dystrybucja. Fałszywe strony trafiają do ofiar przez e-mail, komunikatory, reklamy, SEO poisoning albo przekierowania z innych przejętych zasobów. Często stosowane są również techniki maskowania, takie jak wieloetapowe przekierowania, filtrowanie botów bezpieczeństwa, ograniczanie dostępu do wybranych geolokalizacji czy prezentowanie nieszkodliwej treści podczas automatycznej analizy.

W bardziej zaawansowanych scenariuszach operatorzy ataku nie ograniczają się do prostego formularza zbierającego login i hasło. Mogą oni:

  • przechwytywać dane uwierzytelniające w czasie rzeczywistym,
  • przekierowywać ofiarę na prawdziwą stronę po zakończeniu interakcji, aby zmniejszyć podejrzenia,
  • integrować formularze z backendem służącym do natychmiastowego przekazywania danych do panelu operatora,
  • automatycznie testować poprawność skradzionych danych,
  • łączyć phishing z przejęciem sesji lub technikami adversary-in-the-middle.

Nowoczesne kampanie phishingowe coraz rzadziej przypominają prymitywne strony z błędami językowymi i ubogą grafiką. Dzięki automatyzacji oraz narzędziom generatywnym mogą być wizualnie bardzo zbliżone do oryginału, responsywne i przygotowane z myślą o użytkownikach mobilnych, co znacząco zwiększa ich skuteczność.

Konsekwencje / ryzyko

Dla organizacji głównym zagrożeniem pozostaje kradzież danych uwierzytelniających pracowników, partnerów i klientów. W zależności od celu kampanii może to prowadzić do przejęcia kont pocztowych, kont SaaS, narzędzi deweloperskich i usług tożsamości.

  • przejęcie kont i eskalacja dostępu,
  • ataki typu business email compromise,
  • obejście ochrony opartej wyłącznie na haśle,
  • dalszy ruch lateralny w środowisku firmowym,
  • kradzież danych i nadużycia operacyjne,
  • wdrożenie malware lub ransomware.

Szczególnie groźne są kampanie wymierzone w dostęp do paneli administracyjnych, repozytoriów, pipeline’ów CI/CD oraz usług chmurowych. Przejęcie jednego uprzywilejowanego konta może przełożyć się na modyfikację wdrożeń aplikacyjnych, zmianę konfiguracji środowiska lub dostęp do poufnych danych.

Dla zespołów SOC i IR dodatkowym wyzwaniem jest to, że ruch do legalnej platformy hostingowej nie musi automatycznie generować alertu wysokiego priorytetu. To osłabia skuteczność klasycznych kontroli opartych wyłącznie na reputacji domeny i utrudnia odróżnienie ruchu złośliwego od prawidłowego.

Rekomendacje

Organizacje powinny przyjąć założenie, że legalna infrastruktura chmurowa może być nadużywana równie skutecznie jak infrastruktura typowo przestępcza. W praktyce warto wdrożyć zestaw środków ograniczających skuteczność phishingu i zmniejszających skutki przejęcia danych.

  • Egzekwować phishing-resistant MFA, najlepiej oparte na standardach FIDO2 lub WebAuthn.
  • Ograniczać użycie haseł jako głównego czynnika uwierzytelniania.
  • Monitorować logowania pod kątem anomalii geograficznych, nowych urządzeń i nietypowych sekwencji dostępu.
  • Rozszerzyć ochronę poczty i przeglądarek o analizę behawioralną oraz sandboxing stron.
  • Aktualizować szkolenia użytkowników, uwzględniając phishing hostowany w legalnych usługach chmurowych.
  • Wdrożyć monitoring podszywania się pod markę oraz wykrywanie nowych stron imitujących organizację.
  • Analizować logi DNS, proxy i CASB lub SSE pod kątem nietypowych wzorców dostępu do stron logowania.
  • Usprawnić procedury szybkiego zgłaszania i blokowania stron phishingowych u dostawców hostingu.
  • Chronić konta uprzywilejowane dodatkowymi politykami dostępu warunkowego i separacją administracji.

Z perspektywy użytkownika końcowego nadal kluczowe pozostaje sprawdzanie pełnego adresu strony, unikanie logowania po kliknięciu w link z wiadomości oraz korzystanie z menedżerów haseł. Tego typu narzędzia mogą pełnić funkcję dodatkowego ostrzeżenia, jeśli domena nie odpowiada zapisanej usłudze.

Podsumowanie

Rosnące wykorzystanie Vercel w kampaniach phishingowych wpisuje się w szerszy trend nadużywania legalnych platform chmurowych do prowadzenia ataków. Dla obrońców oznacza to konieczność odejścia od prostego modelu zaufania opartego na reputacji hostingu i przejścia do podejścia skoncentrowanego na tożsamości, kontekście dostępu oraz odporności procesów uwierzytelniania.

Phishing hostowany w rozpoznawalnej infrastrukturze jest trudniejszy do odróżnienia od legalnego ruchu. Skuteczna obrona wymaga więc połączenia technologii, monitoringu, świadomości użytkowników i dojrzałych praktyk operacyjnych.

Źródła

  1. Researchers Spot Uptick in Use of Vercel for Phishing Campaigns — https://www.infosecurity-magazine.com/news/researchers-spot-uptick-vercel/
  2. Criminals are using AI website builders to clone major brands — https://www.malwarebytes.com/blog/news/2026/02/criminals-are-using-ai-website-builders-to-clone-major-brands
  3. Hackers abuse generative AI tool to create phishing sites in 30 seconds — https://www.axios.com/2025/07/01/okta-phishing-sites-generative-ai
  4. Cofense Report Reveals AI-Powered Phishing Accelerated to One Attack Every 19 Seconds — https://cofense.com/blog/cofense-report-reveals-ai-powered-phishing-accelerated-to-one-attack-every-19-seconds
  5. Vercel-hosted RMM abuse campaign evolves with Telegram C2 for victim filtering — https://www.cloudflare.com/en-in/cloudforce-one/research/report/vercel-hosted-rmm-abuse-campaign-evolves-with-telegram-c2-for-victim-filtering/