La FTC alerte sur le fait que des escrocs détournent les invites de CAPTCHA pour tromper les utilisateurs et les faire interagir avec des sites frauduleux. Les victimes peuvent être redirigées depuis des étapes présentées comme de “la vérification” vers des arnaques ou des logiciels malveillants plutôt que vers de véritables connexions.

Les escrocs utilisent de plus en plus des écrans de CAPTCHA comme leurre de l’ingénierie sociale. Au lieu de se limiter à un simple contrôle “prouvez que vous êtes humain”, le CAPTCHA est associé à des instructions factices destinées à pousser l’utilisateur à cliquer, à soumettre des informations supplémentaires ou à poursuivre dans un parcours imitant celui d’un site légitime. Selon la FTC, cette technique apparaît souvent lors de tentatives d’accès à des comptes ou services courants, lorsque la victime est déjà prête à suivre des invites présentées comme urgentes. Dans ces schémas, les fraudeurs exploitent la confusion : les personnes s’attendent à ce qu’un CAPTCHA soit inoffensif, puis l’interaction est détournée vers des conséquences nuisibles. Cela peut prendre la forme d’une orientation vers des offres frauduleuses, de pages d’usurpation d’identité, ou d’étapes qui installent des logiciels malveillants via des boutons trompeurs et des redirections. La FTC recommande de repérer les signaux d’alerte : des demandes de CAPTCHA qui surgissent hors contexte, des consignes qui encouragent des actions additionnelles au-delà d’une vérification standard, ainsi que des sites qui ne correspondent pas au service annoncé. Les consommateurs sont invités à faire une pause, à vérifier l’URL de destination, et à ne pas suivre des indications liées au CAPTCHA lorsque l’ensemble ressemble à un parcours non sollicité ou suspect.