Golpe do CAPTCHA: Nova tática de engenharia social rouba dados e instala malware
Um novo tipo de golpe, o 'CAPTCHA falso', explora a confiança dos usuários em verificações online para induzir a instalação de malware e o roubo de dados. Esta tática de engenharia social imita provedores conhecidos e pede ações incomuns fora do navegador, alertando para a necessidade de atenção a domínios e ações solicitadas. Em caso de infecção, é crucial desconectar da internet, rodar antivírus e trocar senhas em dispositivos seguros.
SÃO PAULO, SP - A popularidade das verificações CAPTCHA, utilizadas para diferenciar humanos de robôs, está sendo explorada em um novo tipo de golpe de engenharia social. O "CAPTCHA falso" induz usuários a realizar ações perigosas que levam à instalação de malware sem que percebam.
Como o golpe do CAPTCHA falso funciona.
Este golpe se aproveita da confiança do usuário no processo de verificação, inserindo um passo falso que culmina na execução de ações perigosas. Ele não explora uma vulnerabilidade mágica, mas sim a engenharia social. Classificado como "ClickFix", o golpe baseia-se na criação de um problema falso — como um bloqueio ou erro inesperado — e oferece uma solução guiada com passos simples, que na verdade não são necessários.
Um diferencial desta nova abordagem é a inclusão de uma etapa de interação humana, que burla filtros automáticos de antivírus, tornando a detecção mais complexa.
Mimetismo e contexto da fraude.
Para enganar a vítima, o golpe imita o visual de provedores conhecidos, como Cloudflare Turnstile ou reCAPTCHA, utilizando linguagem de suporte e criando uma sensação de urgência com frases como "resolva o CAPTCHA para continuar". O layout e os microtextos são projetados para criar um contexto plausível, aparecendo em sites de notícias, downloads, streamings e plataformas de conteúdo adulto, onde uma verificação pode parecer normal. Com o auxílio da inteligência artificial, a cópia pode ser praticamente perfeita.
As vítimas geralmente chegam ao CAPTCHA falso através de anúncios maliciosos, sites comprometidos ou links de phishing. Após visualizá-lo, são instruídas a resolvê-lo, mas o diferencial é que este CAPTCHA pede ações incomuns, que vão além de identificar imagens como faixas de pedestre ou bicicletas.
Sinais de alerta para identificar um CAPTCHA fraudulento.
É crucial desconfiar de um CAPTCHA que solicite ações como abrir janelas do sistema operacional, colar conteúdo em outros sites, executar prompts de comando, baixar arquivos, instalar extensões desconhecidas ou "resolver" algo fora do navegador. Qualquer pedido que se desvie das verificações tradicionais e interaja diretamente com o sistema deve ser um sinal vermelho. Embora a presença do cadeado (HTTPS) na barra de endereços seja um bom indicativo de segurança, hackers já utilizam essa encriptação. Portanto, é fundamental prestar atenção ao domínio do site para evitar cair em "typosquatting".
O CAPTCHA existe para validar cliques dentro do navegador. Qualquer solicitação de ação externa, especialmente no sistema, é um indicativo de golpe.
O que fazer em caso de infecção.
Se você suspeita ter caído no golpe, aja imediatamente. Desconecte-se da internet caso tenha baixado ou instalado algo. Em seguida, execute verificações de segurança completas com um antivírus ou programa confiável no sistema. Troque todas as suas senhas, dando prioridade ao e-mail principal e contas bancárias, utilizando um dispositivo limpo e não infectado. Revise as sessões logadas e ative a autenticação de duas etapas em todas as contas possíveis. O risco maior é o roubo silencioso de dados (infostealing), e a prioridade é recuperar contas críticas, como serviços que guardam cartão de crédito ou criptomoedas.