Die FTC warnt, dass Betrüger mit CAPTCHA-ähnlichen „Sicherheitsüberprüfungs“-Fenstern Nutzer dazu bringen, verdeckt Schadsoftware auszuführen. Nach der Installation können Kriminelle unter anderem E-Mail-Anmeldedaten und mobile Banking-Zugangsdaten abgreifen.

Die FTC warnt davor, dass Betrüger zunehmend gefälschte „CAPTCHA-/Sicherheitsüberprüfungs“-Pop-ups einsetzen, um Menschen in die Kompromittierung ihrer Geräte zu manövrieren. Anstatt eine legitime Bot-Prüfung durchzuführen, fordern die Meldungen die Opfer zu Handlungen auf, die wie Routine wirken – etwa das Bestätigen von Gerätebefehlen oder das Abarbeiten von Schritten, die angeblich nötig sind, um die Identität „zu verifizieren“. In Wahrheit kann der Ablauf laut FTC Malware installieren, die im Hintergrund verborgen bleibt und den Angreifern Zugriff auf sensible Konten ermöglicht. Laut FTC können Angreifer nach der Malware-Installation die Zugangsdaten sammeln, mit denen sich Opfer in E-Mail-Konten anmelden, und anschließend auf wertvollere Ziele umschwenken – darunter auch Mobile-Banking-Konten. Das Vorgehen soll außerdem Misstrauen reduzieren: Viele Nutzer kennen CAPTCHA-Fenster, und der durch Begriffe wie „Verifizierung“ vermittelte Zeitdruck kann dazu führen, dass Menschen schneller reagieren, statt die Berechtigung der Aufforderung zu prüfen. Die FTC empfiehlt, dass CAPTCHA-Herausforderungen keine Softwaredownloads erfordern oder Gerätebefehle auslösen dürfen. Nutzer sollten deshalb besonders bei Pop-ups skeptisch sein, die sich vom erwarteten CAPTCHA-Verhalten abheben, und „Sicherheitsüberprüfungen“ – insbesondere solche, die auf das Abgreifen von Zugangsdaten oder die Kontrolle des Geräts abzielen – als möglichen Betrug betrachten.