Dark
Light
Por 

Captchas falsos em plataformas de desenvolvimento com IA facilitam campanhas de phishing

Pesquisas da Trend Micro descrevem um aumento de páginas com supostos captchas que atuam como filtro prévio antes de redirecionar para portais de roubo de credenciais, apoiando-se em plataformas de desenvolvimento web baseadas em IA.
1 de Outubro, 2025

A Trend Micro detectou um aumento de páginas de captchas falsos hospedadas em plataformas de desenvolvimento com IA que redirecionam para sites de phishing. A empresa situa o fenómeno no contexto da popularização de ferramentas para criar e implementar páginas web rapidamente (como Lovable, com o seu sistema denominado vibe coding, e serviços de alojamento como Netlify e Vercel), cuja utilização legítima se tem alargado entre programadores e utilizadores sem grandes conhecimentos técnicos. Os atacantes recorrem a estas plataformas porque permitem montar sites convincentes com conhecimentos mínimos e custos reduzidos.

Como funciona o engodo do captcha

De acordo com a análise, as campanhas geralmente começam com e-mails não solicitados que apelam para a urgência e convidam a clicar num link. Esse link leva a uma página que simula um captcha aparentemente inofensivo. O captcha atua como um filtro para diminuir a suspeita do utilizador e para contornar alguns scanners automáticos, que detectam apenas o teste e não a página de phishing por trás dele. Depois de resolver o teste, a vítima é redirecionada para o portal de phishing, onde lhe são solicitadas informações confidenciais, como credenciais de acesso ou dados financeiros.

O estudo destaca que o atrativo para os cibercriminosos reside também na existência de categorias gratuitas nessas plataformas, que reduzem o custo de entrada, e no facto de os domínios Lovable, Vercel e Netlify herdarem a credibilidade das próprias ferramentas, o que aumenta a aparência de legitimidade dos sites fraudulentos.

Na contagem feita pela Trend Micro, a Vercel concentra 52 casos detectados, a Lovable 43 e a Netlify 3. Embora a Lovable apareça como uma opção comum entre aqueles que utilizam vibe coding, o relatório aponta que a Vercel e a Netlify estão há mais tempo no mercado, o que explicaria uma maior familiaridade dos atacantes com estas últimas.

A evolução temporal observada mostra que o uso de captchas falsos se intensificou entre fevereiro e abril de 2025; após um declínio, em agosto registou-se um novo aumento. Para a empresa, o fenómeno ilustra como o mesmo ecossistema tecnológico que acelera o desenvolvimento de aplicações também pode facilitar a execução de campanhas maliciosas em grande escala. A tendência evidencia que os criadores de sites baseados em IA estão a ser usados para lançar campanhas de phishing em grande escala com rapidez e baixo custo.

Relacionados