AI-app ‘Lovable’ gebruikt door cybercriminelen

Er wordt tegenwoordig vaak gevraagd naar de impact van AI op het dreigingslandschap. Hoewel er wordt geconstateerd dat door grote taalmodellen (LLM) gegenereerde e-mails of scripts weinig impact hebben, de drempel voor digitale criminaliteit door sommige AI-tools wordt verlaagd. Neem bijvoorbeeld diensten die met behulp van AI binnen enkele minuten websites kunnen maken. 

Cybercriminelen gebruiken steeds vaker de AI-gegenereerde websitebouwer, genaamd Lovable, om phishing, malware en frauduleuze websites te maken en hosten. Proofpoint heeft meerdere campagnes geobserveerd die gebruik maken van de services van Lovable om Multifactorauthenticatie (MFA) phishing kits als Tycoon, malware als cryptocurrency wallet drainers en phishing kits gericht op creditcard- en persoonlijke informatie te verspreiden. 

Lovable is een gebruiksvriendelijke applicatie en websitebouwer die het voor mensen makkelijk maakt om hun eigen ontwerpen te maken en in te zetten, door natuurlijke taalprompts te gebruiken. Mensen kunnen hun idee voor een website in tekstvorm opschrijven, waarna Lovable deze automatisch creëert. De app biedt ook hosting voor gemaakte websites met het domein lovable[.]app. De service is gratis voor vijf prompts per dag, maar de prompts kunnen erg lang en geavanceerd zijn. Hierdoor kan elke prompt gebruikt worden om een volledige website te maken. De hostingservice op lovable[.]app is ook gratis. Websites die met een gratis account worden gemaakt, krijgen echter een ‘Edit with Lovable’-badge en andere gebruikers kunnen zonder beperkingen hun eigen websites maken op basis van andere gratis websites. Alleen betalende klanten kunnen de badge verwijderen en projecten privé maken. Ook kunnen deze klanten aangepaste domeinen toevoegen terwijl de sites nog steeds door Lovable worden gehost. 

Ondanks dat het een handige tool is voor mensen die weinig kennis hebben van webdesign, wordt Lovable misbruikt door cybercriminelen om websites te creëren die worden verspreid via phishingaanvallen. In april 2025 werd Lovable door securitybedrijf Guardio aangemerkt als zeer eenvoudig en effectief platform dat door criminelen kan worden misbruikt.

Onderzoekers van Proofpoint konden zelf ook gemakkelijk neppe websites aanmaken met functies die zich voordeden als prominente bedrijfssoftware om inloggegevens te stelen. Ook kwamen ze geen enkele beveiliging of foutmelding tegen bij het maken van de neppe phishingwebsite. Hoewel dit onderzoek zich richt op activiteiten die in e-mails worden waargenomen, hebben onderzoekers van Proofpoint ook misbruik van Lovable URL's in sms-gegevens waargenomen, waaronder investeringszwendel en phishing van bankgegevens. 

Conclusie 

Sommige AI-tools kunnen de drempel voor cybercriminelen aanzienlijk verlagen, vooral voor degenen die zich richten op het creëren van social engineering-content om de eindgebruiker aan te spreken. Vroeger kostte het veel tijd en kennis over websiteontwikkeling om geloofwaardige landingspagina's te maken. Hoewel het altijd mogelijk is geweest om de HTML en CSS van bestaande websites te klonen, kostte het de tegenstander doorgaans veel tijd en moeite om iets nieuws te creëren om zich voor te doen als een bekend merk of zich te vermommen als een legitiem bedrijf.

Met automatische tools voor het maken van websites kunnen cybercriminelen meer tijd besteden aan de aanvalsketen, toolingmogelijkheden en AI-gegenereerde social engineering in hun toolkit opnemen. Makers van dergelijke tools moeten zich bewust zijn van de mogelijkheden voor misbruik en voorzorgsmaatregelen nemen om misbruik te voorkomen. Deze apps worden gebruikt door legitieme mensen, maar organisaties moeten overwegen om een allow-listingbeleid in te voeren voor veelgebruikte tools en software. 

Klik hier voor het volledige onderzoek.