O golpe do toque fantasma é a mais nova armadilha no mundo dos crimes virtuais para roubar valores de quem usa o cartão por aproximação, seja para pagamentos no crédito ou no débito. A fraude consiste em roubar os dados do cartão do usuário de forma fantasma, sem que ele perceba, por meio de um aplicativo que a própria pessoa instala no seu celular a pedido do golpista.
Os criminosos exploram a tecnologia NFC (Near Field Communication), utilizada em pagamentos por aproximação com cartões, celulares e relógios digitais.
A fraude tem sido monitorada pela empresa de segurança na internet e proteção de dados Kaspersky e seu funcionamento foi detalhado na Semana de Cibersegurança, em Manaus (AM).
Segundo Anderson Leite, analista sênior de segurança da Kaspersky, a tática teve origem na Ásia, onde grupos criminosos compartilhavam cartões roubados e realizavam transações de forma remota entre diferentes cidades, utilizando a tecnologia e a engenharia social.
E no Brasil?
Agora, o golpe começa a ganhar força no Brasil, com adaptações para o público local, e já foi localizado em toda a América Latina. De acordo com ele, a fraude utiliza não só a tecnologia, mas a psicologia para convencer o cidadão a instalar um aplicativo no celular e, depois, aproximar o cartão, fazendo com que os dados sejam roubados.
O “ghost tap” ou “toque fantasma” utiliza engenharia social e malware (vírus malicioso) para enganar a vítima e executar a transação de forma remota e em tempo real.
O primeiro malware identificado com essa capacidade foi o N-Gate, no início de 2024. Em seguida, surgiram o Supercard (final de 2024) e, recentemente, o GhostNFC, que começou a circular entre julho e agosto de 2025. Em um dos casos, foi identificado um brasileiro no meio dos golpistas.
Como funciona?
A fraude funciona da seguinte forma: o golpista telefona para o cliente fazendo se passar por representante do seu banco ou da operadora de cartão de crédito. Ao ser atendido, informa que precisa validar os dados do cartão e que, para isso, é necessário que se baixe um aplicativo no celular.
Ele envia o app por SMS, WhatsApp ou email para a vítima. Ao baixá-lo, o cidadão é orientado a aproximar o seu cartão ao celular para validar os dados. É neste momento que ocorre o roubo do código gerado por NFC, um token temporário que dura de 20 a 30 segundos. Há casos em que o falso programa pede, inclusive, a senha de pagamentos do usuário.
A distância e de forma fantasma, utilizando um outro celular, o criminoso captura os dados da operação NFC. Com essas informações, começa a fazer pagamentos, compras e transferências em nome da vítima em uma máquina de pagamento que está próxima do celular do golpista.
Segundo Leite, em geral, o fraudador começa a fazer várias compras de pequeno valor. Se tiver a senha, no entanto, pode fazer transferências ou compras de alto valor, deixando o prejuízo com o usuário.
Qual a diferença entre mão e toque fantasma?
O golpe da mão fantasma e o golpe do toque fantasma tem objetivos diferentes, mas que levam a prejuízo financeiro para as vítimas. No caso do primeiro, o objetivo é realizar roubar de dinheiro por internet banking ou aplicativo do banco no celular. No caso do toque fantasma, o objetivo é fraudar o cartão de crédito ou débito para realizar compras.
A forma de agir também é diferente. No mão fantasma, é necessário que a vítima baixe e instale um trojan bancário que permite o acesso remoto ao celular ou computador. Então existe uma infecção do dispositivo.
Já no golpe do toque fantasma, o criminoso precisa ter dois celulares, um com o programa malicioso, em geral instalado pela vítima no próprio celular, e o outro que fará a fraude em si, de forma fantasma, roubando o token NFC, e que estará com o golpista.
E se o cartão for roubado?
Uma outra forma de ocorrer o golpe do toque fantasma é se o cartão for roubado. Do mesmo modo e de forma fantasma, o golpista usa o cartão por aproximação em um celular com app criado para roubar os dados, e tem acesso às informações do cliente.
A diferença é que, neste caso, não terá a senha, porém, ele poderá realizar gastos até o limite de compra autorizado pelo banco para pagamentos por aproximação.
Como a fraude é possível?
A fraude ocorre porque cada transação NFC gera um token criptografado único, que só pode ser usado uma vez e em tempo real para compras e pagamentos. Esse token não pode ser reaproveitado, o que protege o usuário contra interceptações convencionais, mas no toque fantasma, a transação ocorre simultaneamente entre vítima e golpista, o que permite o uso do código em tempo real.
Uso de psicologia e boa-fé
Fábio Assolini, gerente da Kaspersky para a América Latina, afirma que o que mais vem preocupando empresas de cibersegurança são os golpes com uso da psicologia, agindo com a boa-fé das pessoas.
Esse tipo de golpe, segundo ele, é muito difícil de evitar e, caso o cidadão tenha prejuízo, nem sempre consegue ser ressarcido, porque ele mesmo baixou o aplicativo e fez a aproximação, ou seja, praticamente forneceu seus dados ao golpista.
Leite considera que o ponto mais preocupante no golpe do toque fantasma é a ligação telefônica como forma de persuasão do usuário. Quando o criminoso já possui alguns dados da vítima como CPF ou nome completo, diz ele, a abordagem se torna ainda mais convincente.
“O ataque mais preocupante não é o tecnológico, mas a forma como se convence. Na minha opinião, [neste golpe] é a ligação para a vítima”, afirma o analista de cibersegurança.
Como evitar?
Uma das formas de se proteger, segundo Leite, é nunca clicar em link ou baixar programas que sejam enviados por SMS, WhatsApp ou email. O usuário deve baixar apenas apps que estejam na loja oficial do sistema operacional do seu celular, ou seja, Google Play ou Apple Store.
Outra dica é ligar para o banco nos números oficiais se for procurado por alguém dizendo que é preciso validar seus dados. E o mais importante: lembrar que, no Brasil, os bancos não costumam ligar solicitando dados do cliente ou pedindo para validar cartão ou mesmo baixar aplicativos.
No caso de cartões roubados que tenham pagamento por aproximação, a dica é bloqueá-los imediatamente e registrar o quanto antes um boletim de ocorrência para provar que foi vítima de crime. Nestes casos, é mais fácil ser ressarcido.
Outras dicas
- Nunca informe sua senha ou PIN em apps que não sejam o oficial do banco
- Ative limites de transações no cartão de crédito ou débito, conforme seu perfil de gastos
- Esteja atento a mensagens que criem pânico ou urgência, táticas clássicas de engenharia social utilizada em alguns golpes