По данным FTC, CAPTCHA-подсказки злоумышленники могут использовать как инструмент для перевода жертв к опасным действиям в интернете. Ключевой защитный сигнал — не выполнять неожиданные инструкции, привязанные к сообщениям о «проверке».

FTC описывает, как мошенники превращают CAPTCHA в «ворота» для обмана. Изначально CAPTCHA предназначена, чтобы останавливать автоматизированные злоупотребления, однако преступники встраивают её в более крупную ложную историю — ту, где пользователю внушают, что нужно срочно выполнить дополнительные шаги. На практике это подталкивает человека продолжать взаимодействие даже тогда, когда запрос выглядит странно или не соответствует обычному процессу входа и верификации реального сервиса. По словам регулятора, такие схемы часто завязаны на фактор времени и чувство неотложности: жертвам показывают сообщения о «проблеме безопасности», «блокировке аккаунта» или «угрозе», после чего на экране появляется страница CAPTCHA, сопровождаемая кнопками и инструкциями, выходящими за рамки обычной проверки. Вместо подтверждения подлинности CAPTCHA-активность может перенаправить пользователя на мошеннический сайт, вывести в фейковую «службу поддержки» или стать частью шага по доставке вредоносного ПО. Предупреждение FTC строится на поведенческих признаках: CAPTCHA, возникающая на неожиданных сайтах; указания нажать «continue» (продолжить), ввести чувствительные данные или следовать подсказкам, которые не похожи на стандартную верификацию. Самый безопасный подход — остановиться и перепроверить ситуацию: закрыть подозрительную страницу, зайти в официальный сервис напрямую и не передавать данные или выполнять действия, навязанные только экраном CAPTCHA. Рассматривая CAPTCHA как возможную ловушку, когда контекст не совпадает с реальностью, пользователи снижают риск мошенничества через редиректы.