Vercel i v0 w phishingu. AI buduje fałszywe strony logowania

2026-05-07

TL;DR

Cofense opisuje wzrost kampanii phishingowych, w których przestępcy nadużywają Vercel i narzędzia v0 do szybkiego tworzenia realistycznych stron logowania. To ważny sygnał, bo generatywna sztuczna inteligencja nie służy już tylko do pisania poprawnych językowo wiadomości phishingowych. Coraz częściej pomaga zbudować całą stronę, która wygląda i działa jak prawdziwy serwis.

Dla firm oznacza to, że stare porady o literówkach, niechlujnym wyglądzie i dziwnym języku tracą wartość. Fałszywa strona może być estetyczna, responsywna, technicznie dopracowana i postawiona na legalnej infrastrukturze. Problemem nie jest więc samo kliknięcie, ale cały proces: od wiadomości, przez landing page, po logowanie, przejęcie danych i dalsze wykorzystanie konta.

Czym są Vercel i v0

Vercel to legalna platforma chmurowa używana przez developerów do budowy, hostowania i wdrażania stron oraz aplikacji webowych. W normalnym użyciu pozwala szybko publikować serwisy internetowe, testować zmiany, łączyć kod z repozytorium i obsługiwać nowoczesne aplikacje frontendowe.

v0 to narzędzie Vercel oparte na generatywnej sztucznej inteligencji. Pozwala tworzyć interfejsy stron na podstawie prostych poleceń tekstowych. Developer może opisać, jak ma wyglądać ekran logowania, formularz, panel użytkownika albo landing page, a narzędzie przygotuje projekt, który można dalej rozwijać.

W legalnym użyciu to przyspieszenie pracy zespołów produktowych, marketingowych i developerskich. W rękach przestępcy ten sam mechanizm może skrócić drogę do stworzenia fałszywej strony logowania, która wygląda znacznie lepiej niż typowy phishing sprzed kilku lat.

AI przestało pisać tylko treść maila

Przez ostatnie miesiące dużo mówiło się o tym, że generatywna sztuczna inteligencja pomaga przestępcom pisać lepsze wiadomości phishingowe. Mniej błędów językowych, lepszy ton, sprawniejsze podszywanie się pod firmę, dział HR, dostawcę albo popularną usługę. To prawda, ale nie opisuje już całego problemu.

W materiale Cofense najważniejsze jest coś innego: AI zaczyna wspierać produkcję phishingowej infrastruktury. Nie chodzi wyłącznie o to, że mail brzmi bardziej profesjonalnie. Chodzi o to, że narzędzia takie jak v0 mogą pomóc w przygotowaniu strony, która wygląda jak prawdziwy ekran logowania, formularz rekrutacyjny albo panel znanej usługi.

To przesuwa phishing z poziomu napisz wiarygodnego maila na poziom zbuduj wiarygodny proces. Atakujący może przygotować wiadomość, stronę, formularz, backend, czyli część aplikacji działającą po stronie serwera, oraz kanał do odbioru przechwyconych danych. Użytkownik nie widzi już nieporadnej podróbki. Widzi płynny proces, który przypomina codzienne logowanie.

Dlaczego Vercel jest atrakcyjny dla atakujących

Vercel jest popularną platformą chmurową do budowy i wdrażania stron oraz aplikacji webowych. Dla legalnych użytkowników oznacza szybki deployment, czyli szybkie wdrożenie strony lub aplikacji, prosty workflow i dobrą integrację z narzędziami developerskimi. Dla przestępców te same cechy są atrakcyjne z innych powodów.

Po pierwsze, strona może powstać szybko. Cofense pokazuje, że przy użyciu v0 możliwe jest wygenerowanie realistycznie wyglądającej strony logowania na podstawie kilku poleceń tekstowych. Po drugie, hosting i wdrożenie są proste. Atakujący nie musi utrzymywać całej infrastruktury tak, jak w klasycznym modelu opartym o phishing kit i własny serwer. Phishing kit to gotowy zestaw plików i skryptów służących do uruchomienia fałszywej strony.

Po trzecie, jeśli strona zostanie usunięta, można relatywnie szybko stworzyć kolejną wersję, poprawić polecenie, zmienić brand albo dopasować szczegóły kampanii. W phishingu liczy się nie tylko jakość przynęty, ale tempo iteracji. Jeżeli przestępca może szybko testować warianty strony i odtwarzać infrastrukturę po usunięciu, obrońcy mają mniej czasu na reakcję.

To nie oznacza, że Vercel jest problemem samym w sobie. To legalna i użyteczna platforma. Problem polega na nadużyciu jej funkcji do budowy elementów ataku.

Legalna platforma jako warstwa zaufania

To nie jest pierwszy przypadek, w którym legalna usługa staje się nośnikiem phishingu. Na PHISHLY opisywaliśmy już, jak GitHub i Jira mogą zostać wykorzystane jako nośnik phishingu przez legalne powiadomienia SaaS. Mechanizm był inny, ale logika podobna: przestępca nie musi udawać całej infrastruktury, jeśli może nadużyć prawdziwego procesu, któremu użytkownik i filtry pocztowe już ufają.

Podobny motyw pojawia się w materiale o n8n jako cichym nośniku phishingu i malware. Legalne narzędzie automatyzacji samo w sobie nie jest problemem. Problem zaczyna się wtedy, gdy jego funkcje zostają wykorzystane jako element łańcucha ataku.

W przypadku Vercel dochodzi jeszcze jeden składnik: generatywna sztuczna inteligencja. Legalna platforma nie tylko hostuje stronę, ale ułatwia jej szybkie wytworzenie. To istotna różnica, bo obniża próg techniczny dla atakujących.

Telegram, backend i automatyzacja przechwytywania danych

Cofense zwraca uwagę także na integracje z innymi usługami, między innymi Telegramem. To ważne, bo phishingowa strona nie kończy się na ładnym formularzu. Ktoś musi odebrać dane, dostać powiadomienie, czasem zareagować w czasie zbliżonym do rzeczywistego i wykorzystać przejęte informacje zanim zostaną unieważnione.

Telegram Bot API, czyli interfejs pozwalający botom Telegrama odbierać i wysyłać wiadomości, od lat jest nadużywany w różnych kampaniach. Daje prosty kanał powiadamiania atakującego o tym, że ofiara wpisała dane. Jeżeli taka integracja łączy się z szybko generowaną stroną i hostingiem w chmurze, powstaje wygodny zestaw dla mniej zaawansowanego przestępcy: landing page, formularz, backend i powiadomienie w jednym procesie.

Dla organizacji oznacza to, że detekcja nie może kończyć się na adresie URL w wiadomości. Trzeba patrzeć także na zachowanie po kliknięciu, domeny pośrednie, formularze, nietypowe logowania, nowe sesje i próby użycia przejętych danych.

Fałszywa oferta pracy, Microsoft i Spotify

W przykładach Cofense pojawiają się różne scenariusze. Jednym z nich jest fałszywa oferta pracy, która prowadzi użytkownika przez stronę przypominającą proces rekrutacyjny, a następnie do fałszywego logowania. Innym przykładem jest podszycie pod Microsoft, czyli jeden z najczęściej wykorzystywanych motywów w phishingu biznesowym. Pojawia się również przykład strony Spotify, która najpierw zbiera dane logowania, a później próbuje przejść do danych karty płatniczej.

Wszystkie te kampanie mają wspólny mianownik: wygląd strony przestaje być słabym punktem ataku. Jeżeli generatywna sztuczna inteligencja potrafi przygotować wiarygodny interfejs, logo, układ, treść i przepływ użytkownika, pracownik nie może polegać wyłącznie na estetyce. Strona phishingowa nie musi wyglądać podejrzanie, żeby być niebezpieczna.

To bardzo mocno łączy się z tym, o czym pisaliśmy w tekście Kwiecień 2026 w phishingu. Miesiąc, w którym kliknięcie przestało być końcem ataku. Coraz częściej trzeba oceniać cały proces, a nie pojedynczy element.

Dlaczego stare szkolenia przestają wystarczać

Wiele programów awareness nadal opiera się na prostych sygnałach: błędy językowe, dziwny nadawca, podejrzany wygląd strony, literówka w logo, słaba grafika, presja czasu. Te elementy nadal mogą występować, ale coraz częściej nie występują.

Generatywna sztuczna inteligencja podnosi jakość ataku. Fałszywy mail może być poprawny językowo. Strona może wyglądać profesjonalnie. Formularz może działać płynnie. Przepływ może przypominać prawdziwą usługę. W takim świecie szkolenie pracowników tylko z wizualnych czerwonych flag robi się zbyt płytkie.

Lepsze pytania są bardziej procesowe. Czy ta prośba pasuje do mojego kontekstu pracy. Czy powinienem logować się z linku w tej wiadomości. Czy ten proces powinien wymagać konta Microsoft, Google albo Facebook. Czy domena i ścieżka logowania są zgodne z tym, czego oczekuję. Czy mogę wejść do usługi samodzielnie przez znany adres zamiast przez link. Czy powinienem zgłosić tę wiadomość, zanim zrobię kolejny krok.

To właśnie dlatego testy phishingowe dla firm powinny mierzyć nie tylko kliknięcia. Ważne jest także, czy pracownik zatrzymał się przed podaniem danych, czy zgłosił wiadomość, czy zespół bezpieczeństwa potrafił szybko zareagować i czy organizacja umiała unieważnić potencjalnie przejętą sesję.

Co powinien zrobić zespół IT i Security

Najpierw warto potraktować Vercel i podobne platformy jako część szerszej kategorii ryzyka: legalne usługi wykorzystywane jako nośnik phishingu. Blokowanie całej platformy może być nierealne albo szkodliwe, zwłaszcza w firmach technologicznych, marketingowych i e-commerce. Potrzebna jest raczej detekcja kontekstowa niż prosty zakaz.

Zespół bezpieczeństwa powinien sprawdzać, czy bramka pocztowa i narzędzia EDR lub XDR rozpoznają świeżo tworzone domeny, dynamiczne landing page, przekierowania, strony hostowane na legalnych platformach oraz formularze wysyłające dane do nietypowych punktów końcowych. EDR, czyli endpoint detection and response, to narzędzia do wykrywania i reagowania na zagrożenia na stacjach roboczych i serwerach. XDR, czyli extended detection and response, rozszerza tę analizę na więcej źródeł, na przykład pocztę, tożsamość, chmurę i sieć.

Warto też monitorować, czy po kliknięciu nie pojawiają się logowania z nowych lokalizacji, nowe urządzenia, nietypowe zgody OAuth, nieoczekiwane reguły pocztowe albo próby logowania do Microsoft 365. OAuth to mechanizm autoryzacji, który pozwala aplikacjom uzyskiwać dostęp do określonych zasobów użytkownika bez przekazywania im hasła. W atakach może zostać nadużyty do uzyskania trwałego dostępu do konta lub danych.

Druga rzecz to proces zgłaszania. Jeżeli użytkownik trafi na stronę, która wygląda zbyt dobrze, żeby wzbudzić podejrzenia, jedyną szansą może być kontekst. Pracownik musi wiedzieć, gdzie zgłosić wątpliwość, a zespół bezpieczeństwa musi mieć możliwość szybkiej analizy adresu URL, zdjęcia wiadomości z innych skrzynek i ostrzeżenia reszty organizacji.

Trzecia rzecz to ćwiczenia. Scenariusze phishingowe powinny obejmować nie tylko brzydkie fałszywe strony, ale także dopracowane, nowoczesne landing page, legalne platformy, rekrutację, konta Microsoft, komunikatory, kody QR i fałszywe procesy logowania.

Co po kliknięciu i wpisaniu danych

Najgorszy moment w takim ataku nie zawsze następuje przy kliknięciu. Kliknięcie może być dopiero początkiem. Prawdziwy problem zaczyna się wtedy, gdy użytkownik wpisze login, hasło, kod MFA, dane karty albo zatwierdzi dostęp dla aplikacji.

MFA, czyli multi-factor authentication, po polsku uwierzytelnianie wieloskładnikowe, bardzo pomaga, ale nie jest magiczną tarczą. Jeżeli fałszywa strona działa jako element ataku typu adversary-in-the-middle, czyli ataku pośrednika, może próbować przechwycić sesję po prawidłowym logowaniu. Użytkownik myśli, że loguje się do właściwej usługi, a atakujący próbuje wykorzystać ten proces do uzyskania dostępu.

Dlatego reakcja po wpisaniu danych powinna być szybka. Trzeba zmienić hasło, unieważnić aktywne sesje, sprawdzić logowania, przejrzeć reguły pocztowe, zweryfikować zgody aplikacji, sprawdzić urządzenia zaufane i ocenić, czy konto nie zostało użyte do dalszego phishingu wewnątrz organizacji.

W środowisku firmowym użytkownik nie powinien zostać z tym sam. Nawet jeśli nie jest pewien, czy podał dane na fałszywej stronie, zgłoszenie jest lepsze niż milczenie. Szybka reakcja może zatrzymać atak zanim przejdzie z jednego konta na pocztę, dokumenty, komunikator albo system finansowy.

Jak ćwiczyć odporność na phishing z AI

Phishing z wykorzystaniem generatywnej sztucznej inteligencji nie powinien być traktowany jako osobna ciekawostka technologiczna. To naturalny rozwój tego, co przestępcy robili wcześniej: przyspieszanie pracy, automatyzacja, testowanie wariantów i lepsze dopasowanie przynęty do odbiorcy.

Dobre ćwiczenia powinny pokazywać pracownikom, że wygląd strony nie jest wystarczającym kryterium bezpieczeństwa. Scenariusz może być poprawny językowo, atrakcyjny wizualnie i hostowany na legalnej platformie, a mimo to prowadzić do kradzieży danych. Dlatego w testach warto sprawdzać nie tylko kliknięcie, lecz także moment zatrzymania przed wpisaniem danych.

Warto też mierzyć zgłoszenia. Jeśli użytkownik rozpozna podejrzany proces i przekaże wiadomość do zespołu bezpieczeństwa, to jest sukces. Jeżeli zespół potrafi szybko przeanalizować adres, usunąć wiadomość z innych skrzynek, ostrzec pracowników i poprawić reguły detekcji, organizacja naprawdę zwiększa odporność.

Awareness nie polega na tym, żeby pracownik znał wszystkie narzędzia używane przez przestępców. Nie musi wiedzieć, czym jest v0, jak działa deployment albo jak wygląda backend phishingowej strony. Powinien jednak wiedzieć, kiedy proces logowania nie pasuje do sytuacji i kiedy trzeba przerwać działanie.

Wniosek

Materiał Cofense dobrze pokazuje, dokąd idzie phishing. Generatywna sztuczna inteligencja nie jest już wyłącznie narzędziem do pisania lepszych wiadomości. Staje się sposobem na szybsze budowanie fałszywych stron, testowanie wariantów, odtwarzanie kampanii i obniżenie progu wejścia dla atakujących.

Dlatego obrona nie może polegać na prostym założeniu, że użytkownik rozpozna podejrzany wygląd. Coraz częściej nie rozpozna, bo strona będzie wyglądała dobrze. Organizacja musi więc mierzyć odporność procesu: od filtrowania poczty, przez analizę linku i zachowanie użytkownika, po wykrycie przejęcia tożsamości oraz reakcję po zgłoszeniu.

W świecie, w którym fałszywą stronę można wygenerować szybciej niż przygotować klasyczny ticket w firmowym helpdesku, przewagę daje nie sama edukacja, ale połączenie edukacji, detekcji i reakcji. To właśnie tu zaczyna się realna cyberodporność: nie w pojedynczym haśle, filtrze czy szkoleniu, ale w całym procesie, który potrafi zatrzymać atak zanim przejęte konto stanie się początkiem większego incydentu.