A FTC diz que golpistas vêm usando telas semelhantes a CAPTCHA para induzir vítimas a executar comandos que instalam malware oculto. Após a instalação, os criminosos podem roubar acessos de e-mail e credenciais de mobile banking.

A FTC alerta que fraudadores estão recorrendo cada vez mais a pop-ups falsos de “CAPTCHA/verificação de segurança” para enganar pessoas e levá-las a comprometer seus dispositivos. Em vez de realizar uma checagem legítima contra bots, as mensagens orientam as vítimas a executar ações que parecem rotineiras, como aprovar comandos do dispositivo ou seguir etapas apresentadas como necessárias para “confirmar” a identidade. Na prática, segundo a FTC, esse processo pode instalar malware que fica oculto enquanto abre caminho para que os criminosos acessem contas sensíveis. De acordo com a agência, depois de o malware ser instalado, os atacantes podem coletar credenciais usadas para entrar em e-mail e, em seguida, direcionar o ataque para alvos ainda mais valiosos, incluindo contas de mobile banking. A estratégia busca reduzir a desconfiança: como telas de CAPTCHA são comuns para muitos usuários, a urgência sugerida pelo termo “verificação” tende a pressionar a pessoa a agir rapidamente, em vez de pausar e checar se o pedido é legítimo. A orientação da FTC é que desafios de CAPTCHA não exijam baixar software nem executar comandos no dispositivo. Os usuários devem desconfiar de pop-ups que não se comportem como um CAPTCHA esperado e tratar alegações de “verificação de segurança”—especialmente quando envolvem captura de credenciais ou controle do dispositivo—como um possível golpe.