Um golpe conhecido como falso CAPTCHA vem chamando atenção de pesquisadores de segurança por se disfarçar de uma verificação comum de "confirme que você é humano", presente em milhares de sites legítimos. Em vez de proteger o acesso ao site, a página falsa tenta convencer o usuário a copiar e colar um comando no próprio computador, abrindo caminho para roubo de senhas, dados bancários, sessões de login ativas e até controle remoto do aparelho.

Como o golpe se disfarça de verificação legítima

O golpe funciona justamente por imitar um procedimento familiar. A maioria dos usuários já passou por verificações do tipo "não sou um robô" ou seleção de imagens específicas antes de acessar um site, e os criminosos aproveitam essa familiaridade criando páginas falsas que imitam serviços conhecidos, como verificações associadas ao Google, à Cloudflare ou a outros sistemas de segurança amplamente reconhecidos.

Em vez de solicitar apenas um clique, a página orienta o usuário a copiar um código e executá-lo em uma ferramenta do sistema operacional, como o PowerShell no Windows. Em alguns casos, o golpe adapta a mensagem conforme o dispositivo identificado, alterando a abordagem para usuários de Windows, Mac ou Android. O ataque se apoia mais em engenharia social do que em invasão técnica direta, já que o objetivo central é convencer a própria vítima a executar a etapa mais arriscada do processo.

O caminho que leva à infecção do dispositivo

O golpe costuma seguir um padrão consistente: a página exibe uma suposta falha na verificação e oferece uma solução rápida, levando o usuário a copiar o comando indicado e executá-lo na ferramenta sugerida, como se estivesse corrigindo um erro técnico legítimo. A partir desse momento, o comando pode buscar arquivos maliciosos na internet, instalar carregadores de malware e preparar o dispositivo para roubo de informações. Pesquisadores de segurança já observaram campanhas capazes de distribuir programas de roubo de dados, ferramentas de acesso remoto e outros softwares maliciosos por meio dessa técnica.

Esse tipo de ataque busca acessar senhas salvas no navegador e contas conectadas, dados de cartões e carteiras digitais, sessões abertas em e-mail e redes sociais, além de informações do sistema e arquivos sensíveis armazenados no dispositivo. Um ponto que merece atenção direta: nenhum site legítimo precisa que o usuário abra o PowerShell, o Terminal ou qualquer janela de comando para comprovar que é humano, e essa exigência é, por si só, um sinal claro de que algo está errado.

Por que o golpe engana tantas pessoas

O golpe explora hábitos já consolidados de navegação, já que verificações de acesso se tornaram parte rotineira da experiência online, reduzindo a desconfiança quando surge uma etapa adicional aparentemente necessária. Os criminosos também utilizam mensagens de urgência, como avisos de "verificação necessária" ou "acesso bloqueado", que criam a sensação de que uma ação imediata é indispensável, reduzindo o tempo de reflexão antes de agir.

Existe ainda um fator psicológico relevante: como a própria vítima realiza a ação de copiar, colar e executar o comando, ela mantém a sensação de estar no controle da situação, mesmo que o comando tenha sido preparado por terceiros com uma intenção que não é visível para quem o executa.

Como reduzir o risco de cair nesse golpe

A proteção mais eficaz começa com uma regra simples: nunca copiar e colar comandos sugeridos por uma página desconhecida, independentemente da aparência profissional do site ou da urgência transmitida pela mensagem. Se uma página solicitar a abertura do PowerShell, Terminal, Prompt de Comando ou da janela "Executar" para concluir uma verificação, a recomendação é interromper imediatamente o processo, fechar a aba e acessar o site desejado digitando o endereço oficial diretamente no navegador.

Medidas complementares reduzem consideravelmente o risco geral de exposição a esse tipo de golpe, como manter a autenticação em duas etapas ativada nas contas principais, manter navegador, sistema operacional e antivírus sempre atualizados, evitar clicar em links recebidos por mensagens não solicitadas, desconfiar de páginas que utilizam contagem regressiva ou linguagem de ameaça, e revisar senhas salvas caso haja suspeita de ter sido exposto a esse tipo de ataque. Compartilhar essa informação com familiares também ajuda, já que cair nesse tipo de golpe não está relacionado à falta de atenção, mas ao desconhecimento de que uma verificação de CAPTCHA pode ser falsificada de forma convincente.

Nenhuma verificação confiável exige que o usuário copie ou cole comandos no sistema operacional. Esse padrão de comportamento resume, de forma direta, o principal indicativo de fraude nesse tipo de golpe.