Die FTC warnt vor einem CAPTCHA-basierten Phishing, das beim Befolgen der Anweisungen Schadsoftware auf Geräten der Opfer installieren kann. Die Malware kann anschließend den Zugriff auf Konten ermöglichen und Zugangsdaten stehlen – darunter E-Mail-Logins und Bankinformationen.

Die FTC hat eine Warnmeldung zu einem Phishing-Scherz veröffentlicht, der CAPTCHA-Überprüfungsaufforderungen imitiert und dabei versteckte Schadsoftware nachlädt. Laut Behörde berichten Betroffene, dass Täter ihnen einen scheinbaren „Check“ oder „Verifizierungsschritt“ präsentieren und anweisen, Befehle direkt auf dem jeweiligen Gerät auszuführen. Die Aufforderung ist dabei offenbar nicht als harmloser Sicherheitstest gedacht, sondern als Verteilmechanismus, um das System des Opfers zu kompromittieren. Sobald die schädlichen Anweisungen ausgeführt wurden, warnt die FTC, dass Malware installiert werden kann, die danach den Diebstahl sensibler Zugangsdaten erleichtert – einschließlich E-Mail-Zugangsdaten und Bankcredentials. Der Betrug setzt auf das Vertrauen, das Menschen typischerweise in gängige Sicherheits- und Anti-Bot-Prozesse wie CAPTCHAs setzen, um das Vorgehen als legitim erscheinen zu lassen. Die Hinweise der FTC betonen insbesondere die Gefahr, auf unerwartete Verifizierungsanfragen mit dem Ausführen von Befehlen zu reagieren. Seriöse Anbieter fordern Nutzer normalerweise nicht dazu auf, Befehle auszuführen, um ein CAPTCHA „abzuschließen“. Die Warnung fügt sich in einen breiteren Trend ein: Angreifer tarnen Schritte der ersten Kompromittierung zunehmend als routinemäßige Sicherheitsprüfungen und gehen dann schnell dazu über, mit Kontenübernahmen und finanziellem Betrug Geld zu verdienen. Für Verbraucher ist das zentrale Risiko, dass eine CAPTCHA-getarnte Aufforderung kein Echtheitsnachweis ist – wer den Malware-Schritt auslöst, kann anschließend den Zugriff auf Konten und Zugangsdaten verlieren. Quelle: FTC-Consumer Advice vom 8. Juni 2026.