A FTC alertou sobre um golpe de phishing baseado em CAPTCHA que pode instalar malware quando as vítimas seguem as instruções. Segundo a agência, o software malicioso pode abrir acesso a contas e permitir o roubo de credenciais, incluindo logins de e-mail e informações bancárias.

A FTC divulgou um alerta descrevendo um esquema de phishing que imita as mensagens de verificação do CAPTCHA e, ao mesmo tempo, entrega malware escondido. A agência afirma ter recebido relatos em que os golpistas exibem às vítimas uma etapa aparente de “checagem” ou “verificação”, orientando-as a executar comandos no próprio dispositivo. Em vez de funcionar como um teste inofensivo de segurança, a solicitação é alegadamente usada como mecanismo de entrega para comprometer o sistema do usuário. Depois que as instruções maliciosas são seguidas, a FTC alerta que pode ocorrer a instalação do malware. A partir daí, o software pode facilitar o roubo de credenciais sensíveis, incluindo logins de e-mail e credenciais bancárias. O golpe se aproveita da confiança que as pessoas normalmente depositam em fluxos comuns de segurança e antibots — como os CAPTCHAs — para que o comportamento malicioso pareça legítimo. O aviso da FTC destaca o risco de responder a solicitações inesperadas de verificação executando comandos. A agência reforça que provedores legítimos de serviços, em geral, não pedem que os usuários rodem comandos para “concluir” um CAPTCHA. O alerta também acompanha uma tendência mais ampla: criminosos vêm disfarçando etapas iniciais de invasão como checagens rotineiras de segurança e, em seguida, avançam rapidamente para monetizar por meio de sequestro de contas e fraudes financeiras. Para consumidores, o ponto crítico é que um prompt com tema de CAPTCHA não é evidência de autenticidade — após a ativação da fase do malware, as vítimas podem perder o acesso às contas e às credenciais.