Início Tecnologia Ataques falsos de CAPTCHA explodiram em 563% no ano passado: como identificá-los...

Ataques falsos de CAPTCHA explodiram em 563% no ano passado: como identificá-los e permanecer seguro online

Por
Wagner Costa
-
5
0

Suebsiri/iStock/Getty Images Plus

Siga ZDNET: Adicione-nos como fonte preferencial no Google.

Principais conclusões da ZDNET

  • CAPTCHAs maliciosos estão se tornando cada vez mais populares como isca.
  • Eles aumentaram 563% em uso em relação a 2025.
  • Detectar um CAPTCHA falso pode ser um desafio, mas veja como.

Os CAPTCHAs podem ser irritantes, mas fornecem um nível de verificação do usuário que pode ajudar os serviços da Web na defesa contra uma série de ameaças cibernéticas.

Infelizmente, eles também podem ser empregados como iscas maliciosas direcionadas aos visitantes e parecem estar se tornando a arma preferida dos cibercriminosos modernos.

Além disso: encomendando um novo telefone? Cuidado com esse golpe convincente que acontece imediatamente após

De acordo com CrowdStrike Relatório de ameaças globais de 2026publicado na terça-feira, iscas falsas de CAPTCHA estão sendo adotadas em velocidade vertiginosa por invasores que esperam comprometer seus dispositivos. Nos últimos dois anos, sua popularidade aumentou a tal ponto que iscas maliciosas de atualização de navegador estão sendo retiradas em favor deles.

O que é um CAPTCHA?

Um CAPTCHA, também conhecido como o prolixo “Teste de Turing Público Completamente Automatizado para Diferenciar Computadores e Humanos”, é um mecanismo de desafio e resposta encontrado em sites.

Os CAPTCHAs estabelecem um desafio que distingue entre visitantes humanos e robóticos de um site, recurso ou serviço online. Esses desafios podem assumir a forma de quebra-cabeças visuais. Ou você pode ter que digitar uma palavra ou um conjunto de letras e números que foram distorcidos para dificultar a identificação adequada dos robôs. Você também pode ser solicitado a manter um botão pressionado por um determinado período de tempo para provar que é humano.

Também: Metade de todos os ataques cibernéticos começam no seu navegador: 10 dicas essenciais para se manter seguro

Esses mecanismos foram inicialmente projetados para impedir que bots e agentes robóticos enviassem spam a fóruns e plataformas de sites com mensagens e respostas automatizadas, mas foram expandidos para impedir tentativas de login de senha de força bruta, compras ou inscrições em massa automatizadas, scraping e para impedir ataques on-line baseados em bots.

Eles são frustrantes, é verdade, especialmente quando o sistema não consegue verificar se você é humano no primeiro exercício – o que pode significar que você terá que completar mais um ou dois quebra-cabeças. Isto é especialmente um problema se você tiver necessidades de acessibilidade. No entanto, agora fazem parte da vida online e fornecem uma camada de proteção para sites que enfrentam ameaças automatizadas.

Descobertas do CrowdStrike

De acordo com o relatório da CrowdStrike, no ano passado, muitos cibercriminosos abandonaram as iscas de phishing relacionadas à atualização do navegador e adotaram táticas falsas de CAPTCHA.

Em comparação com os dados de eventos de segurança de 2024, a equipe de pesquisa relatou um aumento de 563% nas iscas CAPTCHA em 2025, em comparação com as iscas de atualização do navegador.

Tabela CAPTCHA Crowdstrike

Uso criminoso de iscas maliciosas de atualização de navegador e iscas falsas de CAPTCHA, de janeiro de 2024 a dezembro de 2025

CrowdStrike

Por que os CAPTCHAs são usados ​​como ferramentas cibercriminosas?

Há uma grande variedade de janelas e mecanismos CAPTCHA, e os agentes de ameaças exploram essa falta de uniformidade.

Basicamente, CAPTCHAs maliciosos são usados ​​para induzir uma vítima a realizar uma ação que resulta no download e execução de malware ou na visita a um site malicioso. Eles podem incluir instruções no nível do sistema, links para desviar o tráfego do usuário ou até mesmo códigos QR que o enviarão para um domínio de phishing.

As campanhas cibercriminosas que envolvem CAPTCHAs maliciosos são mais comumente associadas à implantação de cavalos de Tróia, ladrões de informações e spyware.

Como identificar CATPCHAs falsos e o que fazer a seguir

Na maioria das vezes, janelas CAPTCHA falsas são usadas para tentar induzir a vítima a hackear a si mesma.

É um método de engenharia social que se concentra naqueles que têm menos conhecimento de tecnologia. Se você já ouviu falar do Clickfix, é o mesmo princípio: exibir um alerta que exige que você tome uma ação, abusar de nossa capacidade de resolver problemas, fornecer um conjunto de instruções e motivar alguém a baixar um pacote malicioso – de preferência enquanto estiver sob o radar.

É assim que eles funcionam. Um CAPTCHA falso aparece em um site comprometido ou suspeito. Em vez de um quebra-cabeça ou jogo de palavras, você será solicitado a verificar se não é um robô de outra forma – e isso envolve seguir um conjunto de instruções.

Também: A IA agora pode resolver testes reCAPTCHA com a maior precisão possível

Para facilitar a verificação, essas instruções são divididas em prompts simples e exigem apenas que você copie e cole uma mensagem na caixa de diálogo Executar do Windows (Win + R) ou em um terminal. Infelizmente, isso executará o PowerShell e baixará uma carga maliciosa em seu sistema.

Como você mesmo iniciou o download no nível do sistema, as proteções antiphishing padrão não o ajudarão.

Você também pode encontrar “erros” em uma janela CAPTCHA que solicita que você visite uma página da web diferente – com um link de domínio falsificado ou de phishing fornecido – para acessar o conteúdo que você estava tentando acessar.

O autor do ZDNET, Ed Bott, seguiu o rastro de um CAPTCHA falso (nota: não tente isso em casa), e em seu exemplo, o CAPTCHA falso exibia o logotipo familiar da Cloudflare e alegava que tráfego incomum havia sido detectado. O aviso CAPTCHA exibia um conjunto de instruções do Windows que pedia ao usuário para copiar e colar uma instrução de linha de comando para fins de “verificação manual”.

Também: Cliquei em quatro golpes on-line sorrateiros de propósito – para mostrar como eles funcionam

Usuários desavisados ​​executariam a instrução e, involuntariamente, baixariam uma carga útil em seu PC, O Trojan:PowerShell/FakeCaptchaque então roubaria informações da máquina.

captcha falso

Ed Bott

Para evitar cair em um CAPTCHA falso, aqui vão alguns conselhos:

  • Não execute nenhum comando de nível de sistema solicitado online. Provavelmente é uma tentativa de enganá-lo. Isso inclui quaisquer instruções de copiar e colar. Qualquer coisa além de um quebra-cabeça chato ou exercício de letras não vale o risco para sua segurança e privacidade.
  • Se uma mensagem CAPTCHA solicitar que você execute alguma coisa, simplesmente não faça isso.
  • Mantenha seu navegador atualizado e habilite a verificação da web em tempo real. Embora isso possa não impedir que você encontre CAPTCHAs falsos, você poderá ser alertado se o seu navegador detectar uma janela maliciosa ou um site de phishing.
  • Não entrar em pânico. Os cibercriminosos tentarão assustar os usuários para que executem uma ação rapidamente, em vez de dar um passo atrás e considerar se um alerta é real ou não. Se você se deparar com uma mensagem de erro ou de ação urgente, reserve alguns segundos para pensar se ela é genuína (provavelmente não é). Depois disso, feche a aba.
  • Considere usar um bloqueador de anúncios. Eles nem sempre capturam pop-ups de phishing ou CAPTCHAs falsos, mas podem ajudar – e, pelo menos, limparão sua experiência de navegação.
  • Links de URL estranhos, erros de ortografia e escolhas de palavras estranhas podem indicar que você está enfrentando uma isca CAPTCHA. Seja cauteloso.
  • Leia nosso guia e dicas importantes sobre segurança e higiene do navegador para manter seu sistema seguro.



fonte

ARTIGOS RELACIONADOSMais do autor

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui