Le barriere di accesso per i cyber criminali non sono mai state così basse: è facile creare o clonare siti web che imitano marchi famosi, utilizzare CAPTCHA per il filtraggio e pubblicare credenziali su Telegram: basta utilizzare Lovable, una piattaforma di generazione di siti web basata sull’intelligenza artificiale.
Rispetto alle e-mail o agli script generati dai modelli linguistici di grandi dimensioni (LLM), l’utilizzo di questi strumenti di intelligenza artificiale ha un impatto notevole sul panorama delle minacce.
Indice degli argomenti
Lovable: cos’è e come lo usano i cyber criminali
I cyber criminali utilizzano sempre più spesso il generatore di siti web basato su intelligenza artificiale Lovable per creare e ospitare siti web di phishing delle credenziali, malware e frodi. Proofpoint ha osservato numerose campagne che sfruttano i servizi Lovable per distribuire kit di phishing per l’autenticazione multi-fattore (MFA) – come Tycoon – o che prendono di mira carte di credito e informazioni personali e malware come i drainer di wallet di criptovalute.
Lovable è un’applicazione per la creazione di siti web intuitiva che consente agli utenti di sviluppare e implementare facilmente i propri progetti utilizzando comandi in linguaggio naturale.
Gli utenti possono scrivere, in formato testo, la loro idea per un sito web e Lovable la mette in pratica automaticamente.
L’app fornisce anche hosting per i siti creati con il dominio lovable[.]app. Il servizio è gratuito per un massimo di cinque prompt al giorno, che possono anche essere molto lunghi e dettagliati, con ogni prompt che può quindi essere utilizzato per creare un sito web completo.
Anche l’hosting su lovable[.]app è gratuito; tuttavia, i siti creati con un account free avranno un badge “Modifica con Lovable” e altri utenti potranno creare i propri siti gratuiti senza limitazioni. Solo i clienti paganti possono rimuovere il badge e rendere i progetti privati, con la possibilità di aggiungere anche domini personalizzati mentre i siti sono ancora ospitati da Lovable.
Sebbene sia uno strumento utile per chi ha conoscenze limitate di web design, Lovable viene sfruttato dai criminali informatici per creare siti distribuiti tramite attacchi di phishing.
Ad aprile 2025, Lovable è stata segnalata dall’azienda di security Guardio come una piattaforma molto semplice ed efficace che può essere sfruttata dai criminali. Infatti, i ricercatori di Proofpoint sono riusciti a creare facilmente siti web falsi con funzionalità che imitavano importanti software aziendali per rubare credenziali senza incontrare ostacoli o errori nel tentativo di creare il falso sito di phishing.
Sebbene questo blog si concentri sulle attività osservate nelle e-mail, i ricercatori di Proofpoint hanno anche osservato URL Lovable utilizzati in modo improprio in comunicazioni via SMS, tra cui truffe di investimento e phishing di credenziali bancarie.
Proofpoint ha osservato centinaia di migliaia di URL Lovable rilevati come minacce ogni mese nei dati delle e-mail, con una frequenza crescente su base mensile, a partire da febbraio 2025. Di seguito solo un esempio di campagne osservate.
Lovable e la campagne di phishing Tycoon
Nel febbraio 2025, Proofpoint ha identificato una campagna che sfruttava temi relativi alla condivisione di file per distribuire phishing delle credenziali, con centinaia di migliaia di messaggi, che ha preso di mira oltre 5.000 organizzazioni.
Contenevano URL lovable[.]app che indirizzavano i destinatari a una landing page che presentava un CAPTCHA matematico che, una volta risolto, reindirizzava a una pagina di autenticazione Microsoft contraffatta.
Esca per il phishing delle credenziali.
Phishing CAPTCHA.
Landing page del phishing delle credenziali Microsoft.
La pagina presentava Azure Active Directory (AAD) o Okta Branding dell’utente ed era progettata per raccogliere le sue credenziali, i token di autenticazione multi-fattore (MFA) e recuperare i cookie di sessione associati. Ciò è stato ottenuto attraverso la tecnica Adversary-in-the-Middle (AiTM), utilizzando le capacità di inoltro sincrono fornite dalla piattaforma Tycoon Phishing-as-a-Service (PhaaS).
Proofpoint ha osservato ulteriori campagne di phishing delle credenziali Tycoon distribuite tramite URL Lovable con modelli di dominio simili, tra cui una nel giugno 2025 che si mascherava come il reparto risorse umane delle aziende target, con e-mail relative ai benefici dei dipendenti.
Email che impersona le HR, per distribuire Tycoon per il phishing delle credenziali.
Queste campagne includevano una catena di attacchi simile, con URL accattivanti che portavano a un CAPTCHA che, una volta risolto, reindirizzava a un sito di phishing delle credenziali con brand Microsoft.
Ulteriori esempi di campagne, che includono il furto di dati personali, richieste di pagamenti e furti di criptovalute, sfruttando aziende di spedizioni e piattaforme DeFi sono disponibili a questo link qui.
Alcuni strumenti di intelligenza artificiale possono abbassare significativamente le barriere di ingresso per i cyber criminali, in particolare quelli che si concentrano sulla creazione di contenuti di social engineering per attirare l’utente.
Consigli di mitigazione del rischio
Storicamente, per creare landing page credibili erano necessari tempo e conoscenze specialistiche sullo sviluppo di siti. Sebbene sia sempre stato possibile clonare l’HTML e il CSS di siti esistenti, generalmente la creazione di qualcosa di nuovo per impersonare un marchio noto o mascherarsi come un’azienda legittima richiedeva tempo e impegno da parte dell’attaccante.
Con gli strumenti di creazione automatica di siti web, gli autori delle minacce possono dedicare più tempo alla catena di attacco e alle funzionalità degli strumenti e incorporare il social engineering generato dall’intelligenza artificiale nel loro toolkit.
Chi crea tali strumenti dovrebbe essere consapevole delle opportunità di abuso e implementare misure di sicurezza per prevenirne lo sfruttamento.
Queste app sono utilizzate da persone legittime, ma le organizzazioni dovrebbero prendere in considerazione l’applicazione di policy di autorizzazione per gli strumenti e i software spesso abusati.
