FTC сообщила о фишинговой схеме на основе CAPTCHA, которая может устанавливать вредоносное ПО, если жертва выполняет указания. Злоумышленники используют «проверочный» шаг как способ доставить вредонос, после чего становится возможной кража учетных данных, включая доступ к электронной почте и банковскую информацию.

Федеральная торговая комиссия (FTC) выпустила предупреждение о фишинге, который имитирует запросы CAPTCHA-проверки, параллельно передавая на устройство скрытое вредоносное ПО. В сообщении говорится, что в адрес ведомства поступили жалобы: мошенники показывают пользователю на экране кажущийся этап «галочки» или «верификации» и предлагают выполнить команды на своем устройстве. По данным FTC, вместо безобидной проверки этот шаг используется как механизм доставки, и после выполнения вредоносных инструкций на компьютере или телефоне может быть установлено ПО. Далее, как подчеркивает агентство, вредонос может обеспечить злоумышленникам доступ к аккаунтам и помочь в краже конфиденциальных данных, включая учетные записи электронной почты и банковские реквизиты. Мошенники рассчитывают на то, что люди обычно доверяют привычным механизмам защиты от ботов — CAPTCHA — и воспринимают происходящее как легитимную процедуру. FTC отдельно отмечает опасность реагирования на неожиданные запросы проверки путем выполнения команд, при этом подлинные поставщики сервисов обычно не просят пользователей запускать команды, чтобы «завершить» CAPTCHA. В предупреждении также отражена более общая тенденция: атакующие все чаще маскируют первые этапы взлома под обычные проверки безопасности, а затем стремительно переходят к извлечению выгоды через захват учетных записей и финансовое мошенничество. Для пользователей ключевой риск заключается в том, что CAPTCHA-оформленный запрос сам по себе не является доказательством подлинности: после срабатывания этапа с вредоносом жертвы могут потерять доступ к аккаунтам и хранящимся в них учетным данным. Источник: потребительские разъяснения FTC от 8 июня 2026 года.