Os testes CAPTCHA fazem parte da navegação online há anos e são vistos como uma ferramenta essencial para distinguir humanos de robôs. Contudo, aquilo que nasceu para aumentar a segurança está agora a ser transformado numa poderosa arma nas mãos dos cibercriminosos.
Segundo o mais recente relatório global de ameaças da CrowdStrike, os ataques baseados em falsos CAPTCHA cresceram de forma explosiva em 2025, tornando-se uma das principais técnicas utilizadas para infetar computadores com malware.
O que é um CAPTCHA e para que serve
CAPTCHA é a sigla de “Completely Automated Public Turing Test to tell Computers and Humans Apart”. Trata-se de um mecanismo de verificação utilizado em websites para confirmar que quem está a interagir com um serviço online é uma pessoa real e não um robô automatizado.
Na prática, estes sistemas apresentam pequenos desafios ao utilizador, como selecionar imagens específicas, escrever letras ou números distorcidos ou até manter um botão pressionado durante alguns segundos.
Inicialmente, foram criados para impedir spam em fóruns e plataformas online. Hoje ajudam também a bloquear tentativas de acesso por força bruta a contas, compras automatizadas em massa, recolha abusiva de dados e vários tipos de ataques baseados em bots.
Apesar de muitas vezes serem frustrantes, sobretudo quando obrigam a repetir testes, continuam a ser uma importante camada de proteção contra ameaças automatizadas.
Falsos CAPTCHA tornaram-se a nova arma preferida dos hackers
De acordo com o Global Threat Report 2026 da CrowdStrike, publicado esta terça-feira, os criminosos digitais estão a abandonar outras técnicas clássicas de phishing, como os falsos alertas de atualização do navegador.
Os números são claros: em comparação com os dados de segurança de 2024, os investigadores registaram um aumento de 563% na utilização de iscos baseados em CAPTCHA falsos durante 2025.
A rapidez com que esta técnica está a crescer mostra que os atacantes encontraram uma forma extremamente eficaz de enganar utilizadores e contornar mecanismos tradicionais de defesa.
Utilização criminosa de iscos maliciosos de atualização de navegador e iscos CAPTCHA falsas, janeiro de 2024 a dezembro de 2025
Porque estão os criminosos a usar CAPTCHA falsos
Ao contrário de outros elementos da web, não existe um modelo único de CAPTCHA. Existem múltiplos formatos, janelas e métodos de validação diferentes, algo que facilita a criação de versões falsas difíceis de distinguir das legítimas.
O objetivo destes CAPTCHA maliciosos é simples: levar a vítima a executar uma ação que resulte no download de malware ou no acesso a um website perigoso.
Algumas destas páginas incluem instruções ao nível do sistema operativo, links para redirecionar o tráfego ou até códigos QR que encaminham o utilizador para domínios de phishing.
As campanhas associadas a este tipo de ataque estão frequentemente ligadas à instalação de trojans, spyware e programas especializados no roubo de informação pessoal.
Como funcionam os ataques com CAPTCHA falsos
Na maioria dos casos, trata-se de engenharia social. Ou seja, o ataque explora o comportamento humano em vez de falhas técnicas.
O funcionamento é relativamente simples:
- O utilizador visita um site comprometido ou suspeito e surge uma janela CAPTCHA aparentemente normal. No entanto, em vez de apresentar um puzzle visual, pede que seja realizada uma ação específica para provar que não é um robô.
- As instruções são normalmente simples e divididas em passos claros.
- Por exemplo, pode ser pedido que copie e cole um comando na janela “Executar” do Windows (Win + R) ou num terminal.
- Ao fazê-lo, o utilizador acaba por executar comandos PowerShell que descarregam malware diretamente para o sistema.
- Como foi a própria vítima a iniciar o processo ao nível do sistema operativo, muitas proteções tradicionais contra phishing deixam de ser eficazes.
Noutras situações, o CAPTCHA apresenta um alegado erro e pede que aceda a outra página para continuar. O link fornecido conduz normalmente a um domínio falso preparado para roubo de dados.
Como identificar um CAPTCHA falso
Existem alguns sinais de alerta importantes:
- Um CAPTCHA nunca deve pedir para copiar comandos para o computador.
- Desconfie de instruções que envolvam atalhos do sistema como Win + R.
- Verificações legítimas não exigem downloads adicionais.
- Erros que redirecionam para outro site são suspeitos.
- URLs estranhas ou domínios ligeiramente diferentes do original são um forte indicador de fraude.
Se encontrar um CAPTCHA deste tipo, a recomendação é simples: feche imediatamente a página e evite seguir qualquer instrução apresentada.
Num cenário em que os ataques digitais continuam a evoluir rapidamente, até os elementos mais familiares da internet podem tornar-se armadilhas sofisticadas. Estar atento aos detalhes continua a ser a melhor defesa.