Amável: quando a inteligência artificial que constrói sites se torna ferramenta do cibercrime

Ferramenta de Criação de Sites Impulsionada por IA Torna-se um Novo Reduto da Cibercriminalidade

O que começou como uma solução para democratizar a criação de páginas web agora se virou contra a segurança digital. O Lovable, um gerador de sites alimentado por inteligência artificial, possibilita que qualquer pessoa, sem conhecimentos técnicos, crie um site atraente e funcional em questão de minutos. Entretanto, a mesma facilidade agora está sendo explorada por cibercriminosos, que utilizam a plataforma para implementar sofisticadas campanhas de phishing, fraudes e distribuição de malware.

Um relatório da empresa de segurança Proofpoint, validado pela Guardio Labs, revela que o uso indevido do Lovable aumentou significativamente nos últimos meses. Os atacantes estão não apenas criando sites falsos, mas também se passando por empresas reconhecidas, como Microsoft, UPS e plataformas de criptomoedas. O resultado disso? Milhares de usuários enganados, com uma barreira de entrada ao cibercrime cada vez mais baixa.

Promessa do Lovable: Sites em Minutos, Sem Programação

O apelo do Lovable é evidente: basta descrever o tipo de site que se deseja — como uma página corporativa para um restaurante ou uma loja online — e a IA gera o design, texto e até as imagens necessárias. O serviço inclui hospedagem, certificados de segurança e um acabamento profissional difícil de diferenciar de um site personalizado. Enquanto isso facilita a vida de pequenos empresários e autônomos, os criminosos perceberam que com a mesma facilidade podem criar sites fraudulentos com aparência legítima em minutos.

Campanhas que Ilustram o Extensão do Problema

Recentemente, a Proofpoint identificou quatro campanhas massivas que utilizaram o Lovable como ferramenta principal para enganar usuários e empresas.

1. Phishing contra Microsoft e Okta: Milhares de e-mails foram enviados a empregados de diversas empresas, redirecionando-os para páginas Lovable que imitavam portais legítimos. Os criminosos coletaram credenciais e códigos de autenticação multifator, conseguindo acessar sistemas corporativos.

2. Fraude de Paqueteria com a UPS: Os atacantes disfarçaram-se de UPS e enviaram e-mails solicitando dados pessoais e de cartão de crédito para “gerenciar um envio pendente”, permitindo que roubassem dinheiro diretamente das contas das vítimas.

3. Ataques a Criptomoedas: Mais de 10.000 e-mails dirigidos a usuários de uma plataforma de empréstimos foram enviados, levando-os a sites Lovable que imitavam a plataforma Aave. Após a conexão de suas carteiras digitais, os atacantes tiveram acesso fácil aos fundos.

4. Malware Disfarçado como Faturas: Nesta campanha, o objetivo era instalar um trojan de acesso remoto nos computadores das vítimas, usando links disfarçados como portais de faturamento.

Atração do Lovable para Cibercriminosos

O Lovable apresenta características que o tornam um alvo perfeito para abusos:

• Velocidade: A criação de um site completo leva minutos.
• Aspecto profissional: As páginas geradas são modernas e convincentes.
• Infraestrutura segura: Sites com HTTPS mais difíceis de identificar como fraudulentos.
• Baixo custo: Os atacantes podem gerar múltiplas contas com facilidade.
• Dificuldade de detecção: Portais bem desenhados inspiram mais confiança.

Medidas do Lovable e Sua Efetividade

Cientes do problema, os responsáveis pelo Lovable introduziram, em julho, um sistema de detecção em tempo real de sites maliciosos e escaneamentos diários. Apesar disso, a pesquisa indicou que é possível criar sites fraudulentos sem serem detectados. A empresa afirma que continuará a reforçar suas políticas de segurança, mas o problema é profundo: cada nova ferramenta de IA que simplifica processos pode ser explorada de forma maliciosa.

Como Proteger-se

Embora a responsabilidade principal recaia sobre plataformas como o Lovable, os usuários também não estão indefesos. Algumas recomendações incluem:

• Desconfiar de e-mails urgentes solicitando dados pessoais.
• Verificar sempre a URL antes de inserir credenciais.
• Não baixar anexos de fontes suspeitas.
• Usar senhas únicas e autenticação multifator.
• Manter software e antivírus atualizados.

Nos últimos tempos, a linha entre o útil e o perigoso na era da inteligência artificial se tornou cada vez mais tênue. Com ferramentas inovadoras aparecendo constantemente, a ameaça de fraudes e ataques cibernéticos está se expandindo, exigindo vigilância constante de todos os usuários na internet.