Selon la FTC, des invites CAPTCHA peuvent être détournées pour entraîner les victimes vers des actions en ligne nuisibles. Le point clé consiste à refuser de suivre des instructions inattendues associées à des messages de « vérification ».

La FTC explique comment des escrocs transforment les prompts CAPTCHA en véritable rampe de lancement pour la tromperie. À l’origine, un CAPTCHA sert à freiner les abus automatisés, mais les fraudeurs peuvent l’intégrer dans un récit mensonger plus large, qui pousse l’utilisateur à accomplir des étapes supplémentaires « immédiatement ». L’objectif est de maintenir la victime dans l’interaction, même quand la demande paraît étrange ou ne correspond pas au parcours habituel de connexion et de vérification du service concerné. Ces arnaques reposent souvent sur le timing et l’urgence. Les victimes peuvent voir des messages insinuant un problème de sécurité, un compte bloqué ou une menace urgente, avant d’être redirigées vers des pages CAPTCHA accompagnées de boutons et d’instructions qui dépassent la simple vérification. Au lieu de confirmer la légitimité, l’étape CAPTCHA peut conduire l’utilisateur vers un site frauduleux, vers un faux parcours d’assistance, ou encore déclencher une étape de diffusion de logiciels malveillants. L’alerte de la FTC met surtout l’accent sur des signaux comportementaux: des pages CAPTCHA qui apparaissent sur des sites inattendus, des consignes vous invitant à cliquer sur « continuer », à saisir des informations sensibles, ou à suivre des indications qui ne ressemblent pas aux procédures normales de vérification. Le plus sûr est de s’arrêter et de réévaluer: fermer la page suspecte, accéder directement au service officiel en passant par la navigation habituelle, et ne fournir aucune donnée ni exécuter des actions uniquement parce qu’un écran CAPTCHA le demande. En considérant les étapes CAPTCHA comme un piège possible lorsque le contexte est incohérent, les consommateurs réduisent le risque d’être exposés à des fraudes par redirection.