Segundo a FTC, prompts de CAPTCHA podem ser explorados para levar vítimas a ações online nocivas, inclusive por meio de verificações falsas. O ponto-chave é não seguir instruções inesperadas ligadas a mensagens de “verificação”.

A FTC descreve como golpistas transformam solicitações de CAPTCHA em uma “porta de entrada” para enganar usuários. Embora o CAPTCHA exista para impedir abusos automatizados, fraudadores podem incorporá-lo a uma narrativa falsa maior, que sugere que a pessoa precisa concluir etapas adicionais imediatamente. Isso faz o usuário continuar interagindo mesmo quando o pedido parece estranho ou não corresponde ao fluxo real de login e verificação do serviço. De acordo com o alerta, esses golpes frequentemente se apoiam em timing e urgência: a vítima pode ver mensagens que sugerem um problema de segurança, possível bloqueio da conta ou uma ameaça iminente. Em seguida, ela é confrontada com telas de CAPTCHA combinadas com botões e instruções que vão além da verificação básica. Em vez de confirmar a legitimidade, a interação com o CAPTCHA pode direcionar a pessoa para um site fraudulento, um atendimento falso ou uma etapa de entrega de malware. A advertência da FTC se concentra em sinais comportamentais: páginas de CAPTCHA exibidas em sites inesperados e instruções para clicar em “continue”, inserir informações sensíveis ou seguir orientações que não se parecem com a verificação típica do serviço. A recomendação é parar, fechar a página suspeita, acessar o serviço oficial diretamente e não fornecer dados nem executar ações motivadas apenas pela tela de CAPTCHA. Ao tratar etapas de CAPTCHA como possível armadilha quando o contexto está errado, consumidores podem reduzir o risco de fraudes baseadas em redirecionamentos.