La FTC alerte sur une campagne de phishing basée sur un CAPTCHA qui peut installer un logiciel malveillant lorsque les victimes suivent les instructions. Une fois le code exécuté, le malware peut permettre l’accès aux comptes et le vol d’identifiants, notamment les connexions email et les informations bancaires.

La FTC a publié une alerte décrivant une arnaque par phishing qui imite des invites de vérification de type CAPTCHA tout en diffusant un malware dissimulé. L’agence indique avoir reçu des signalements dans lesquels les escrocs proposent aux victimes une étape apparente de « vérification » ou de « validation », en leur demandant d’exécuter des commandes sur leur appareil. Selon la FTC, cette étape n’a rien d’un simple test de sécurité et sert plutôt de mécanisme de livraison pour compromettre le système de la victime. Une fois les instructions malveillantes suivies, l’agence prévient que le malware peut être installé, puis utilisé pour dérober des identifiants sensibles, comme les identifiants de connexion aux comptes email et les informations bancaires. L’arnaque exploite la confiance que les utilisateurs placent généralement dans des workflows de sécurité et de lutte anti-bot courants — notamment les CAPTCHA — afin de faire paraître l’opération comme légitime. Dans ses recommandations, la FTC insiste sur le risque de répondre à une demande de vérification inattendue en exécutant des commandes. L’agence souligne que les prestataires de services légitimes ne demandent généralement pas aux utilisateurs de lancer des commandes pour « compléter » un CAPTCHA. Cet avertissement s’inscrit dans une tendance plus large : des attaquants déguisent de plus en plus les premières étapes de compromission en contrôles de sécurité ordinaires, puis passent rapidement à la monétisation via le piratage de comptes et la fraude financière. Pour les consommateurs, le point central est qu’une invite thématisée CAPTCHA n’est pas une preuve d’authenticité : une fois la phase du malware déclenchée, les victimes peuvent perdre l’accès à leurs comptes et à leurs identifiants. Source : conseils aux consommateurs de la FTC datés du 8 juin 2026.