Lovable ai's websites veelvuldig gebruikt voor phishing

In dit artikel:

De gratis AI-websitebouwer Lovable wordt op grote schaal misbruikt door cybercriminelen om phishingpagina’s te maken, waarschuwt cybersecuritybedrijf Proofpoint. Sinds februari 2025 zien de onderzoekers een sterke toename; maandelijks worden naar eigen zeggen honderdduizenden Lovable-URL’s als bedreiging aangetroffen in e-mailverkeer. Criminelen gebruiken de service voor verschillende vormen van fraude, waaronder multifactorauthenticatie-phishingkits (zoals Tycoon), cryptocurrency-wallet-drainers en phishing voor creditcard- en persoonsgegevens.

Lovable werkt met taalprompts waarmee complete sites — inclusief backend-logica, CAPTCHA’s en inlogformulieren — snel gegenereerd en gehost kunnen worden onder het lovable.app-domein. Met gratis accounts blijven sites herkenbaar aan de “Edit with Lovable”-melding; betalende klanten kunnen die weghalen en eigen domeinen koppelen, maar de hosting blijft bij Lovable. Proofpoint-onderzoekers konden met één à twee prompts volwaardige phishingsites namaken en troffen bij het aanmaken geen beveiligingswaarschuwingen aan. Misbruik is niet alleen per e-mail zichtbaar maar ook via sms-campagnes en via het delen van gestolen inloggegevens op Telegram.

Lovable zegt maatregelen te nemen en beveiligingsupdates uit te rollen om misbruik te verminderen. De ontwikkeling wordt onder meer besproken op Cybersec Netherlands, dat op 10 en 11 september plaatsvindt in de Koninklijke Jaarbeurs in Utrecht.