По данным FTC, злоумышленники выдают себя за проверку CAPTCHA и просят жертв выполнить команды. В результате может быть установлено вредоносное ПО, которое открывает доступ к угону аккаунтов и краже учетных данных.

В потребительском уведомлении FTC описана мошенническая схема с CAPTCHA, которая маскируется под обычную попытку проверки на сайте, но фактически используется как приманка для вредоносного ПО. Сообщается, что пользователи видят текст, напоминающий действия, связанные с CAPTCHA, однако цель мошенников — заставить жертву выполнить определенные действия, прежде всего запуск команд на своем устройстве. FTC отмечает, что такой подход под «верификацией» оружейно используется для обхода недоверия: запрос оформляют так, чтобы пользователи воспринимали его как стандартный и срочный шаг безопасности. После того как команда будет выполнена, предупреждает ведомство, на устройстве может установиться вредоносная программа. Получив доступ к системе, атакующие способны похищать учетные данные и организовывать несанкционированный доступ к аккаунтам жертв. FTC отдельно выделяет угрозы, нацеленные на входы в электронную почту и банковские реквизиты — высокоцeнные объекты, которые могут привести к мошенничеству даже после первоначального компромета. В уведомлении подчеркивается, почему именно такая схема особенно опасна: CAPTCHA в целом воспринимаются как привычный барьер, поэтому пользователь может решить, что необычное действие все еще является частью нормальной защиты, тогда как по данным FTC это запрос-дезинформация, который рассчитан на прямое выполнение действий пользователем.