Segundo a FTC, golpistas se passam por verificações de CAPTCHA e orientam as vítimas a executar comandos. O procedimento pode resultar na instalação de malware, permitindo sequestro de contas e roubo de credenciais.

A advertência ao consumidor da FTC descreve um golpe de CAPTCHA que imita uma verificação rotineira de site, mas que na prática funciona como isca para a instalação de malware. As vítimas, de acordo com o relato, se deparam com uma mensagem com aparência de atividade relacionada a CAPTCHA; porém, o objetivo dos criminosos é levar a pessoa a realizar ações específicas, especialmente a execução de comandos no próprio dispositivo. A FTC afirma que essa “verificação” é usada de forma armada para contornar o senso de cautela e pressionar o usuário a cair em uma comprometimento. Depois que o comando é executado, a agência alerta que o malware pode ser instalado. Com o software malicioso no equipamento, os atacantes podem roubar credenciais e viabilizar acessos não autorizados às contas das vítimas. A FTC destaca especialmente ameaças envolvendo logins de e-mail e credenciais bancárias — alvos de alto valor que podem facilitar fraudes mesmo após a invasão inicial. O alerta também enfatiza o motivo de o padrão ser particularmente perigoso: prompts de CAPTCHA são amplamente reconhecidos como uma barreira padrão, o que pode levar usuários a supor que um passo urgente ou incomum ainda faça parte de um processo normal de segurança. Ainda assim, a apuração da FTC indica que o prompt é uma armadilha para induzir uma ação direta do usuário. O caso evidencia uma mudança na forma como os criminosos evoluem o phishing, ao embutir etapas maliciosas em interfaces familiares, e a orientação se concentra em não executar comandos diante de solicitações inesperadas semelhantes a CAPTCHA e tratar esse tipo de prompt como potencial ameaça, e não como confirmação de legitimidade. Fonte: orientação ao consumidor da FTC, datada de 8 de junho de 2026.