Laut der FTC geben sich Betrüger als CAPTCHA-Überprüfungen aus und fordern Opfer auf, bestimmte Befehle auszuführen. Das kann zur Installation von Schadsoftware führen, die anschließend Kontoübernahmen und das Abgreifen von Zugangsdaten ermöglicht.

Die Verbraucherwarnung der FTC beschreibt einen CAPTCHA-Betrug, der wie eine normale Website-Verifizierung wirkt, in Wahrheit jedoch als Köder für Malware dient. Betroffene sollen auf eine Meldung stoßen, die nach CAPTCHA-typischer Aktivität aussieht, während das eigentliche Ziel der Täter darin besteht, die Nutzer zu gezielten Handlungen zu bewegen – insbesondere dazu, Befehle auf ihrem Gerät auszuführen. Die FTC weist darauf hin, dass dieses „Verfahren zur Verifizierung“ bewusst als Waffe eingesetzt wird, um Zweifel auszuräumen und Nutzer in eine Kompromittierung zu drängen. Nachdem der Befehl ausgeführt wurde, warnt die FTC, dass Schadsoftware installiert werden kann. Mit Malware auf dem System könnten Angreifer Zugangsdaten stehlen und unbefugten Zugriff auf Konten der Opfer ermöglichen. Die Behörde hebt dabei besonders Bedrohungen mit E-Mail-Logins sowie Bankzugangsdaten hervor: Das sind besonders wertvolle Ziele, die selbst nach dem ersten Eindringen zu Betrug führen können. Die Warnung macht zudem deutlich, warum dieses Muster so gefährlich ist: CAPTCHA-Eingaben gelten allgemein als Standardbarriere im Web, sodass Nutzer davon ausgehen könnten, ein dringlicher oder ungewöhnlicher Schritt gehöre noch zur normalen Sicherheitsprüfung. Laut FTC ist die Aufforderung jedoch eine Täuschung, um eine direkte Aktion des Nutzers auszulösen. Der Fall zeigt damit auch eine Entwicklung im Phishing-Handwerk: Angreifer binden schädliche Schritte in vertraute Oberflächen ein. Die Empfehlung der FTC lautet, die Ausführung von Befehlen nicht aufgrund unerwarteter CAPTCHA-ähnlicher Anfragen zu veranlassen und solche Aufforderungen als potenzielle Bedrohung zu behandeln – statt sie als Bestätigung für Legitimität zu betrachten. Quelle: FTC-Consumer-Advice vom 8. Juni 2026.