Golpe do CAPTCHA falso: como funciona e como não cair
Por Lillian Sibila Dala Costa • Editado por Jones Oliveira |
Todo internauta que se cadastrou em algum serviço, errou a senha várias vezes ou demorou para voltar a uma conta já se deparou com um CAPTCHA. Esse tipo de verificação, muito comum na web, pede que você execute passos para “provar que não é um robô”. É fácil, então, aceitar o desafio, fazê-lo e passar para a frente sem pensar.
O golpe do CAPTCHA, então, se aproveita da confiança do usuário no processo para inserir um passo de verificação falso que acaba levando a vítima a executar ações perigosas. Não é uma vulnerabilidade mágica no processo: é um tipo de engenharia social que leva você a instalar um malware sem se dar conta.
O que é ClickFix e por que ele funciona
Vamos começar com as categorias de golpe que envolvem o falso CAPTCHA. Ele é do tipo ClickFix, que se baseia na criação de um problema falso, como bloqueio de alguma plataforma, erro inesperado ou verificação. Ele oferece uma solução guiada com passos simples, mas que, no final das contas, o usuário não precisa (e não se dá conta disso).
O diferencial aqui é uma nova etapa de interação humana que burla filtros automáticos de antivírus.
Por que o golpe do CAPTCHA falso é tão real
Para enganar o usuário, o golpe imita o visual de provedores conhecidos, como Clouflare Turnstile ou reCAPTCHA, usa linguagem de suporte com passos simples e urgência para agir (“resolva o CAPTCHA para continuar”, por exemplo).
O layout e os microtextos criam um contexto plausível: ele aparece em sites de notícias, downloads, streamings, sites de conteúdo adulto, qualquer lugar onde uma verificação pareça normal. Especialmente com ajuda da IA, a cópia é praticamente perfeita.
Sinais claros de que o CAPTCHA é falso
A vítima chega no CAPTCHA falso através de um anúncio malicioso, site comprometido ou link de phishing, vê o CAPTCHA e o resolve. O diferencial, aqui, é que ele pede ações incomuns, diferentes do “marque as faixas de pedestre” ou “identifique as bicicletas”: é difícil prever o que irá aparecer, então não podemos listar todas as possibilidades em uma só matéria.
Um sinal para ter em mente, por exemplo, é um CAPTCHA que peça para abrir janelas do sistema, colar conteúdo em outros sites ou prompts de comando, baixar arquivos, instalar extensões desconhecidas ou “resolver” algo fora do navegador. Sempre desconfie de ações muito diferentes do que já viu por aí.
A presença do “cadeado” na barra de endereços, indicando HTTPS, pode ser um bom sinal de que você está em um site confiável, mas cuidado: alguns hackers já usam esse tipo de encriptação para enganar usuários. Preste atenção no domínio do site acessado para não cair em typosquatting.
Cliquei, e agora? O que fazer?
Caso você já tenha caído no golpe antes de ler nossa explicação, é importante seguir alguns passos: primeiro, desconecte-se imediatamente da internet caso tenha baixado ou instalado algo.
Rode verificações de segurança no sistema, como seu antivírus ou outro programa confiável, troque suas senhas (principalmente do e-mail principal e bancos) em um dispositivo limpo, diferente do infectado, e revise sessões logadas. Também ative autenticação por duas etapas.
Caso você suspeite que suas credenciais foram roubadas, o risco maior é o “roubo silencioso” dos seus dados (infostealing), e a prioridade aqui é recuperar contas críticas, como serviços que guardam seu cartão de crédito ou criptomoedas. Lembre-se sempre: o CAPTCHA existe para validar cliques no navegador. Qualquer coisa fora, especialmente ações no sistema, com certeza será golpe.