La FTC indique que des escrocs utilisent des écrans ressemblant à des CAPTCHA pour inciter les victimes à exécuter des commandes qui installent des malwares dissimulés. Une fois le logiciel malveillant en place, les criminels peuvent voler des identifiants de messagerie et des informations liées à la banque mobile.

La FTC met en garde contre une hausse des fraudes qui recourent à de fausses fenêtres « CAPTCHA/vérification de sécurité » pour pousser les personnes à compromettre leurs appareils. Au lieu d’effectuer un contrôle anti-bot légitime, les messages invitent les victimes à réaliser des actions qui paraissent courantes—comme approuver des commandes de l’appareil ou suivre des étapes présentées comme indispensables pour « confirmer » leur identité. En réalité, selon la FTC, cette procédure peut installer un logiciel malveillant capable de rester caché tout en donnant aux attaquants l’accès à des comptes sensibles. Après l’installation, les criminels peuvent récupérer les identifiants utilisés pour se connecter à la messagerie, puis se tourner vers des cibles plus lucratives, notamment la banque mobile. L’objectif est de limiter les suspicions : les écrans de type CAPTCHA sont familiers à beaucoup d’utilisateurs, et l’urgence suggérée par le terme « vérification » peut pousser à agir rapidement plutôt qu’à interrompre et vérifier la légitimité de l’invite. La FTC rappelle que les défis CAPTCHA ne doivent pas exiger le téléchargement de logiciels ni l’exécution de commandes sur l’appareil. Les utilisateurs doivent donc se méfier des pop-up qui s’écartent du comportement attendu d’un CAPTCHA et considérer toute allégation de « vérification de sécurité »—en particulier celles liées à la collecte d’identifiants ou au contrôle de l’appareil—comme un signal potentiel d’arnaque.