Golpe começa a ganhar força no Brasil, com adaptações para o público local, e já foi localizado em toda a América Latina
O golpe do toque fantasma é a mais nova armadilha no mundo dos crimes virtuais para roubar valores de quem usa o cartão por aproximação, seja para pagamentos no crédito ou no débito. A fraude consiste em roubar os dados do cartão do usuário de forma fantasma, sem que ele perceba, por meio de um aplicativo que a própria pessoa instala no seu celular a pedido do golpista.
Os criminosos exploram a tecnologia NFC (Near Field Communication), utilizada em pagamentos por aproximação com cartões, celulares e relógios digitais.
A fraude tem sido monitorada pela empresa de segurança na internet e proteção de dados Kaspersky e seu funcionamento foi detalhado na Semana de Cibersegurança, em Manaus (AM).
Segundo Anderson Leite, analista sênior de segurança da Kaspersky, a tática teve origem na Ásia, onde grupos criminosos compartilhavam cartões roubados e realizavam transações de forma remota entre diferentes cidades, utilizando a tecnologia e a engenharia social.
Agora, o golpe começa a ganhar força no Brasil, com adaptações para o público local, e já foi localizado em toda a América Latina. De acordo com ele, a fraude utiliza não só a tecnologia, mas a psicologia para convencer o cidadão a instalar um aplicativo no celular e, depois, aproximar o cartão, fazendo com que os dados sejam roubados.
O “ghost tap” ou “toque fantasma” utiliza engenharia social e malware (vírus malicioso) para enganar a vítima e executar a transação de forma remota e em tempo real. O primeiro malware identificado com essa capacidade foi o N-Gate, no início de 2024. Em seguida, surgiram o Supercard (final de 2024) e, recentemente, o GhostNFC, que começou a circular entre julho e agosto de 2025. Em um dos casos, foi identificado um brasileiro no meio dos golpistas.
COMO FUNCIONA O GOLPE DO TOQUE FANTASMA?
A fraude funciona da seguinte forma: o golpista telefona para o cliente fazendo se passar por representante do seu banco ou da operadora de cartão de crédito. Ao ser atendido, informa que precisa validar os dados do cartão e que, para isso, é necessário que se baixe um aplicativo no celular.
Ele envia o app por SMS, WhatsApp ou email para a vítima. Ao baixá-lo, o cidadão é orientado a aproximar o seu cartão ao celular para validar os dados. É neste momento que ocorre o roubo do código gerado por NFC, um token temporário que dura de 20 a 30 segundos. Há casos em que o falso programa pede, inclusive, a senha de pagamentos do usuário.
A distância e de forma fantasma, utilizando um outro celular, o criminoso captura os dados da operação NFC. Com essas informações, começa a fazer pagamentos, compras e transferências em nome da vítima em uma máquina de pagamento que está próxima do celular do golpista.
Segundo Leite, em geral, o fraudador começa a fazer várias compras de pequeno valor. Se tiver a senha, no entanto, pode fazer transferências ou compras de alto valor, deixando o prejuízo com o usuário.
QUAL A DIFERENÇA ENTRE A MÃO FANTASMA E O TOQUE FANTASMA?
O golpe da mão fantasma e o golpe do toque fantasma tem objetivos diferentes, mas que levam a prejuízo financeiro para as vítimas. No caso do primeiro, o objetivo é realizar roubar de dinheiro por internet banking ou aplicativo do banco no celular. No caso do toque fantasma, o objetivo é fraudar o cartão de crédito ou débito para realizar compras.
A forma de agir também é diferente. No mão fantasma, é necessário que a vítima baixe e instale um trojan bancário que permite o acesso remoto ao celular ou computador. Então existe uma infecção do dispositivo.
Já no golpe do toque fantasma, o criminoso precisa ter dois celulares, um com o programa malicioso, em geral instalado pela vítima no próprio celular, e o outro que fará a fraude em si, de forma fantasma, roubando o token NFC, e que estará com o golpista.
E SE A VÍTIMA TIVER O CARTÃO ROUBADO?
Uma outra forma de ocorrer o golpe do toque fantasma é se o cartão for roubado. Do mesmo modo e de forma fantasma, o golpista usa o cartão por aproximação em um celular com app criado para roubar os dados, e tem acesso às informações do cliente.
A diferença é que, neste caso, não terá a senha, porém, ele poderá realizar gastos até o limite de compra autorizado pelo banco para pagamentos por aproximação.
COMO A FRAUDE É POSSÍVEL?
A fraude ocorre porque cada transação NFC gera um token criptografado único, que só pode ser usado uma vez e em tempo real para compras e pagamentos. Esse token não pode ser reaproveitado, o que protege o usuário contra interceptações convencionais, mas no toque fantasma, a transação ocorre simultaneamente entre vítima e golpista, o que permite o uso do código em tempo real.
USO DE PSICOLOGIA E BOA-FÉ
Fábio Assolini, gerente da Kaspersky para a América Latina, afirma que o que mais vem preocupando empresas de cibersegurança são os golpes com uso da psicologia, agindo com a boa-fé das pessoas.
Esse tipo de golpe, segundo ele, é muito difícil de evitar e, caso o cidadão tenha prejuízo, nem sempre consegue ser ressarcido, porque ele mesmo baixou o aplicativo e fez a aproximação, ou seja, praticamente forneceu seus dados ao golpista.
Leite considera que o ponto mais preocupante no golpe do toque fantasma é a ligação telefônica como forma de persuasão do usuário. Quando o criminoso já possui alguns dados da vítima -como CPF ou nome completo -, diz ele, a abordagem se torna ainda mais convincente.
“O ataque mais preocupante não é o tecnológico, mas a forma como se convence. Na minha opinião, [neste golpe] é a ligação para a vítima”, afirma o analista de cibersegurança.
O QUE FAZER PARA NÃO SER VÍTIMA DE GOLPE?
Uma das formas de se proteger, segundo Leite, é nunca clicar em link ou baixar programas que sejam enviados por SMS, WhatsApp ou email. O usuário deve baixar apenas apps que estejam na loja oficial do sistema operacional do seu celular, ou seja, Google Play ou Apple Store.
Outra dica é ligar para o banco – nos números oficiais – se for procurado por alguém dizendo que é preciso validar seus dados. E o mais importante: lembrar que, no Brasil, os bancos não costumam ligar solicitando dados do cliente ou pedindo para validar cartão ou mesmo baixar aplicativos.
No caso de cartões roubados que tenham pagamento por aproximação, a dica é bloqueá-los imediatamente e registrar o quanto antes um boletim de ocorrência para provar que foi vítima de crime. Nestes casos, é mais fácil ser ressarcido.
OUTRAS DICAS SÃO:
- Nunca informe sua senha ou PIN em apps que não sejam o oficial do banco
- Ative limites de transações no cartão de crédito ou débito, conforme seu perfil de gastos
- Esteja atento a mensagens que criem pânico ou urgência, táticas clássicas de engenharia social utilizada em alguns golpes
CUIDADOS EXTRAS PARA QUEM USA CARTÃO CORPORATIVO
Usuários com cartão corporativo devem ter cuidados redobrados e jamais baixar ou fazer qualquer coisa a mando ou pedido de outra pessoa. Nestes casos, o trabalhador poderá ter de ressarcir a empresa e ainda corre o risco de ser demitido ou responder a procedimento interno por ter colocado os dados da companhia em risco.
Os cuidados envolvem não apenas aos cartões corporativos, mas celulares e computadores aos quais o trabalhador tenha acesso. Fábio Assolini diz que os dados de uma empresa devem ser protegidos em primeiro lugar, por isso não se deve clicar em nenhum tipo de link ou baixar qualquer aplicativo que seja.
Os prejuízos para a companhia vão além de transtornos tecnológicos e passam por invasões de sistemas com acesso a dados sensíveis, multas por conta da LGPD (Lei Geral de Proteção de Dados) e extorsão por criminosos.
SEQUESTRO DE CONTAS CRESCE NO BRASIL
O sequestro de contas cresceu 12% no Brasil nos últimos 12 meses, de julho de 2024 a agosto de 2025, segundo dados da Kaspersky. Esse tipo de crime cibernético consiste acessar dados da empresa, seja porque alguém clicou num link malicioso ou baixou um aplicativo fraudulento.
Os criminosos entram no sistema, mapeiam a situação, criptografam os dados e começam a extorquir as vítimas, segundo Assolini. Como sabem a capacidade financeira da empresa, pedem como resgate valores compatíveis, ou seja, quando o sequestrador entra em contato, mesmo que a companhia negue ter o dinheiro, não o convence.
Depois que o resgate é pago, há ainda uma outra extorsão, ligada ao desbloqueio e devolução total dos dados. E quando se trata de clientes com uma grande base de dados de usuários, como nome completo, endereço e CPF, por exemplo, o prejuízo pode levar a multas por conta da LGPD.
“Acreditamos que os criminosos têm preferido o Brasil por conta da LGPD, pois para não ser responsabilizada pelo vazamento de dados de clientes, a empresa paga o resgate.” Para ele, no entanto, a LGPD é um avanço em proteção e transparência. “Antes, quando não tínhamos a LGPD, a empresa pagava o resgate e não divulgava nada, deixava o golpe em segredo. Hoje, com o risco de os dados vazarem, elas vêm a público informar a invasão, o que é bom para o usuário”, diz Assolini.
“Sabendo que seus dados estavam expostos, o usuário pode trocar suas senhas e se proteger.” A repórter viajou a Manaus (AM) a convite da Kaspersky
FONTE: O TEMPO