Laut der FTC können CAPTCHA-Abfragen missbraucht werden, um Opfer zu schädlichen Online-Aktionen zu führen. Entscheidend ist, unerwarteten Anweisungen zu widersprechen, die an angebliche „Verifikation“-Meldungen gekoppelt sind.

Die FTC beschreibt, wie Betrüger CAPTCHA-Hinweise in ein täuschendes Gesamtszenario einbetten. Zwar soll ein CAPTCHA automatisierten Missbrauch bremsen, doch Kriminelle können es als Teil einer falschen Geschichte verwenden, die den Eindruck vermittelt, der Nutzer müsse sofort weitere Schritte ausführen. Das zielt darauf ab, dass Betroffene weiter interagieren – auch wenn die Aufforderung ungewöhnlich wirkt oder nicht zum normalen Anmelde- und Verifikationsablauf des echten Dienstes passt. Solche Maschen setzen häufig auf Timing und Dringlichkeit: Betroffene sehen möglicherweise Hinweise auf ein angebliches Sicherheitsproblem, eine Kontosperre oder eine akute Bedrohung. Danach folgt eine CAPTCHA-Seite, die mit Schaltflächen oder Anleitungen kombiniert ist, die über eine reine Überprüfung hinausgehen. Statt Legitimität zu bestätigen, kann die CAPTCHA-Interaktion den Nutzer auf eine betrügerische Website, in einen Fake-Support-Prozess oder in einen Schritt zur Malware-Zustellung umleiten. Die Warnung der FTC richtet sich besonders auf auffällige Verhaltensmuster: CAPTCHA-Seiten auf unerwarteten Domains, Anweisungen zum Klicken auf „Weiter/Continue“, die Aufforderung zur Eingabe sensibler Informationen oder Hinweise, die nicht wie die typischen Verifikationsschritte des jeweiligen Services aussehen. Am sichersten ist es, die Situation abzubrechen und neu zu bewerten: die verdächtige Seite schließen, den offiziellen Dienst über den korrekten Weg direkt aufrufen und keine Daten preisgeben oder Aktionen ausführen, die nur durch eine CAPTCHA-Aufforderung angestoßen werden. Wenn Verbraucher CAPTCHA-Schritte bei fehlendem Kontext als möglichen Köder einordnen, sinkt das Risiko, Opfer von Weiterleitungsbetrug zu werden.