O golpe do toque fantasma é a nova armadilha no mundo dos crimes virtuais para roubar valores de quem usa o cartão por aproximação (crédito ou débito). A fraude consiste em roubar dados do cartão de forma fantasma, sem que o usuário perceba, por meio de um aplicativo instalado no celular a pedido do golpista.
Os criminosos exploram a tecnologia NFC usada em pagamentos por aproximação com cartões, celulares e relógios digitais. A fraude é monitorada pela Kaspersky e foi detalhada na Semana de Cibersegurança, em Manaus (AM).
Segundo Anderson Leite, analista da Kaspersky, a tática teve origem na Ásia, onde grupos criminosos compartilhavam cartões roubados e realizavam transações remotas usando NFC e engenharia social.
O golpe começa a ganhar força no Brasil e já foi localizado em toda a América Latina. A fraude usa tecnologia e psicologia para convencer o cidadão a instalar um app e aproximar o cartão, roubando os dados.
O "ghost tap" ou "toque fantasma" usa engenharia social e malware para executar transações remotas em tempo real. Os primeiros malwares foram: N-Gate (início de 2024), Supercard (final de 2024) e GhostNFC (julho-agosto de 2025). Em um caso, foi identificado um brasileiro entre os golpistas.
COMO FUNCIONA O GOLPE DO TOQUE FANTASMA?
O golpista liga para o cliente se passando por banco ou operadora de cartão, pedindo para baixar um aplicativo no celular para validar os dados do cartão.
Ao aproximar o cartão ao celular, ocorre o roubo do código NFC (token temporário). Em alguns casos, o app também solicita a senha.
De forma fantasma, usando outro celular, o criminoso captura os dados e realiza pagamentos, compras e transferências em nome da vítima. Geralmente começam com valores pequenos, mas com a senha podem causar prejuízos maiores.
QUAL A DIFERENÇA ENTRE A MÃO FANTASMA E O TOQUE FANTASMA?
O golpe da mão fantasma e o golpe do toque fantasma tem objetivos diferentes, mas que levam a prejuízo financeiro para as vítimas. No caso do primeiro, o objetivo é realizar roubar de dinheiro por internet banking ou aplicativo do banco no celular. No caso do toque fantasma, o objetivo é fraudar o cartão de crédito ou débito para realizar compras.
A forma de agir também é diferente. No mão fantasma, é necessário que a vítima baixe e instale um trojan bancário que permite o acesso remoto ao celular ou computador. Então existe uma infecção do dispositivo.
Já no golpe do toque fantasma, o criminoso precisa ter dois celulares, um com o programa malicioso, em geral instalado pela vítima no próprio celular, e o outro que fará a fraude em si, de forma fantasma, roubando o token NFC, e que estará com o golpista.
E SE A VÍTIMA TIVER O CARTÃO ROUBADO?
Uma outra forma de ocorrer o golpe do toque fantasma é se o cartão for roubado. Do mesmo modo e de forma fantasma, o golpista usa o cartão por aproximação em um celular com app criado para roubar os dados, e tem acesso às informações do cliente.
A diferença é que, neste caso, não terá a senha, porém, ele poderá realizar gastos até o limite de compra autorizado pelo banco para pagamentos por aproximação.
COMO A FRAUDE É POSSÍVEL?
A fraude ocorre porque cada transação NFC gera um token criptografado único, que só pode ser usado uma vez e em tempo real para compras e pagamentos. Esse token não pode ser reaproveitado, o que protege o usuário contra interceptações convencionais, mas no toque fantasma, a transação ocorre simultaneamente entre vítima e golpista, o que permite o uso do código em tempo real.
USO DE PSICOLOGIA E BOA-FÉ
Fábio Assolini, da Kaspersky, afirma que o mais preocupante são os golpes que usam a psicologia, explorando a boa-fé das pessoas. Esse tipo de fraude é difícil de evitar e o prejuízo nem sempre é ressarcido, já que a vítima baixou o app e forneceu seus dados.
Leite destaca que o ponto mais preocupante do golpe do toque fantasma é a ligação telefônica, que se torna mais convincente quando o criminoso já possui dados da vítima como CPF ou nome completo.
Ele conclui: o ataque mais preocupante não é tecnológico, mas a persuasão via telefone. Se quiser, posso fazer uma versão ainda mais enxuta em tópicos, focando só nos riscos e formas de persuasão.
O QUE FAZER PARA NÃO SER VÍTIMA DE GOLPE?
Segundo Leite, para se proteger nunca clique em links ou baixe apps enviados por SMS, WhatsApp ou email. Baixe apenas aplicativos oficiais da Google Play ou Apple Store. Outra medida é ligar para o banco pelos números oficiais se alguém pedir para validar dados. No Brasil, os bancos não solicitam dados ou pedem para baixar apps.
No caso de cartões roubados com pagamento por aproximação, bloqueie imediatamente e registre um boletim de ocorrência para facilitar o ressarcimento.
OUTRAS DICAS SÃO:
- Nunca informe sua senha ou PIN em apps que não sejam o oficial do banco
- Ative limites de transações no cartão de crédito ou débito, conforme seu perfil de gastos
- Esteja atento a mensagens que criem pânico ou urgência, táticas clássicas de engenharia social utilizada em alguns golpes
(Com informações da FolhaPress - Cristiane Gercina)