O golpe do toque fantasma é a mais novidade insídia no mundo dos crimes virtuais para roubar valores de quem usa o cartão por aproximação, seja para pagamentos no crédito ou no débito.
A fraude consiste em roubar os dados do cartão do usuário de forma fantasma, sem que ele perceba, por meio de um aplicativo que a própria pessoa instala no seu celular a pedido do golpista.
Os criminosos exploram a tecnologia NFC (Near Field Communication), utilizada em pagamentos por aproximação com cartões, celulares e relógios digitais.
A fraude tem sido monitorada pela empresa de segurança na internet e proteção de dados Kaspersky e seu funcionamento foi detalhado na Semana de Cibersegurança, em Manaus (AM).
Segundo Anderson Leite, comentador sênior de segurança da Kaspersky, a tática teve origem na Ásia, onde grupos criminosos compartilhavam cartões roubados e realizavam transações de forma remota entre diferentes cidades, utilizando a tecnologia e a engenharia social.
Agora, o golpe começa a lucrar força no Brasil, com adaptações para o público lugar, e já foi localizado em toda a América Latina. De concordância com ele, a fraude utiliza não só a tecnologia, mas a psicologia para convencer o cidadão a instalar um aplicativo no celular e, depois, aproximar o cartão, fazendo com que os dados sejam roubados.
O “ghost tap” ou “toque fantasma” utiliza engenharia social e malware (vírus malicioso) para enganar a vítima e executar a transação de forma remota e em tempo real.
O primeiro malware identificado com essa capacidade foi o N-Gate, no início de 2024. Em seguida, surgiram o Supercard (final de 2024) e, recentemente, o GhostNFC, que começou a rodear entre julho e agosto de 2025. Em um dos casos, foi identificado um brasílio no meio dos golpistas.
Porquê funciona o golpe do toque fantasma?
A fraude funciona da seguinte forma: o golpista telefona para o cliente fazendo se passar por representante do seu banco ou da operadora de cartão de crédito. Ao ser atendido, informa que precisa validar os dados do cartão e que, para isso, é necessário que se baixe um aplicativo no celular.
Ele envia o app por SMS, WhatsApp ou email para a vítima. Ao baixá-lo, o cidadão é orientado a aproximar o seu cartão ao celular para validar os dados. É neste momento que ocorre o roubo do código gerado por NFC, um token temporário que dura de 20 a 30 segundos. Há casos em que o falso programa pede, inclusive, a senha de pagamentos do usuário.
A intervalo e de forma fantasma, utilizando um outro celular, o criminoso tomada os dados da operação NFC. Com essas informações, começa a fazer pagamentos, compras e transferências em nome da vítima em uma máquina de pagamento que está próxima do celular do golpista.
Segundo Leite, em universal, o fraudador começa a fazer várias compras de pequeno valor. Se tiver a senha, no entanto, pode fazer transferências ou compras de sobranceiro valor, deixando o prejuízo com o usuário.
Qual a diferença entre a mão fantasma e o toque fantasma?
O golpe da mão fantasma e o golpe do toque fantasma tem objetivos diferentes, mas que levam a prejuízo financeiro para as vítimas. No caso do primeiro, o objetivo é realizar roubar de quantia por internet banking ou aplicativo do banco no celular. No caso do toque fantasma, o objetivo é fraudar o cartão de crédito ou débito para realizar compras.
A forma de agir também é dissemelhante. No mão fantasma, é necessário que a vítima baixe e instale um trojan bancário que permite o entrada remoto ao celular ou computador. Logo existe uma infecção do dispositivo.
Já no golpe do toque fantasma, o criminoso precisa ter dois celulares, um com o programa malicioso, em universal instalado pela vítima no próprio celular, e o outro que fará a fraude em si, de forma fantasma, roubando o token NFC, e que estará com o golpista.
E se a vítima tiver o cartão roubado?
Uma outra forma de ocorrer o golpe do toque fantasma é se o cartão for roubado. Do mesmo modo e de forma fantasma, o golpista usa o cartão por aproximação em um celular com app criado para roubar os dados, e tem entrada às informações do cliente.
A diferença é que, neste caso, não terá a senha, porém, ele poderá realizar gastos até o limite de compra autorizado pelo banco para pagamentos por aproximação.
Porquê a fraude é provável?
A fraude ocorre porque cada transação NFC gera um token criptografado único, que só pode ser usado uma vez e em tempo real para compras e pagamentos. Esse token não pode ser reaproveitado, o que protege o usuário contra interceptações convencionais, mas no toque fantasma, a transação ocorre simultaneamente entre vítima e golpista, o que permite o uso do código em tempo real.
Uso de psicologia e boa-fé
Fábio Assolini, gerente da Kaspersky para a América Latina, afirma que o que mais vem preocupando empresas de cibersegurança são os golpes com uso da psicologia, agindo com a boa-fé das pessoas.
Esse tipo de golpe, segundo ele, é muito difícil de evitar e, caso o cidadão tenha prejuízo, nem sempre consegue ser ressarcido, porque ele mesmo baixou o aplicativo e fez a aproximação, ou seja, praticamente forneceu seus dados ao golpista.
Leite considera que o ponto mais preocupante no golpe do toque fantasma é a relação telefônica porquê forma de persuasão do usuário. Quando o criminoso já possui alguns dados da vítima —porquê CPF ou nome completo—, diz ele, a abordagem se torna ainda mais suasivo.
“O ataque mais preocupante não é o tecnológico, mas a forma porquê se convence. Na minha opinião, [neste golpe] é a relação para a vítima”, afirma o comentador de cibersegurança.
O que fazer para não ser vítima de golpe?
Uma das formas de se proteger, segundo Leite, é nunca clicar em link ou decrescer programas que sejam enviados por SMS, WhatsApp ou email. O usuário deve decrescer exclusivamente apps que estejam na loja solene do sistema operacional do seu celular, ou seja, Google Play ou Apple Store.
Outra dica é vincular para o banco —nos números oficiais— se for procurado por alguém dizendo que é preciso validar seus dados. E o mais importante: lembrar que, no Brasil, os bancos não costumam vincular solicitando dados do cliente ou pedindo para validar cartão ou mesmo decrescer aplicativos.
No caso de cartões roubados que tenham pagamento por aproximação, a dica é bloqueá-los imediatamente e registrar o quanto antes um boletim de ocorrência para provar que foi vítima de violação. Nestes casos, é mais fácil ser ressarcido.
Outras dicas são:
- Nunca informe sua senha ou PIN em apps que não sejam o solene do banco
- Ative limites de transações no cartão de crédito ou débito, conforme seu perfil de gastos
- Esteja discreto a mensagens que criem pânico ou urgência, táticas clássicas de engenharia social utilizada em alguns golpes
Usuários com cartão corporativo devem ter cuidados redobrados e nunca decrescer ou fazer qualquer coisa a mando ou pedido de outra pessoa. Nestes casos, o trabalhador poderá ter de ressarcir a empresa e ainda corre o risco de ser despedido ou responder a procedimento interno por ter disposto os dados da companhia em risco.
Os cuidados envolvem não exclusivamente aos cartões corporativos, mas celulares e computadores aos quais o trabalhador tenha entrada. Fábio Assolini diz que os dados de uma empresa devem ser protegidos em primeiro lugar, por isso não se deve clicar em nenhum tipo de link ou decrescer qualquer aplicativo que seja.
Os prejuízos para a companhia vão além de transtornos tecnológicos e passam por invasões de sistemas com entrada a dados sensíveis, multas por conta da LGPD (Lei Universal de Proteção de Dados) e roubo por criminosos.
Sequestro de contas cresce no Brasil
O sequestro de contas cresceu 12% no Brasil nos últimos 12 meses, de julho de 2024 a agosto de 2025, segundo dados da Kaspersky. Esse tipo de violação cibernético consiste acessar dados da empresa, seja porque alguém clicou num link malicioso ou baixou um aplicativo fraudulento.
Os criminosos entram no sistema, mapeiam a situação, criptografam os dados e começam a extorquir as vítimas, segundo Assolini. Porquê sabem a capacidade financeira da empresa, pedem porquê resgate valores compatíveis, ou seja, quando o sequestrador entra em contato, mesmo que a companhia negue ter o quantia, não o convence.
Depois que o resgate é pago, há ainda uma outra roubo, ligada ao desbloqueio e restituição totalidade dos dados. E quando se trata de clientes com uma grande base de dados de usuários, porquê nome completo, endereço e CPF, por exemplo, o prejuízo pode levar a multas por conta da LGPD.
“Acreditamos que os criminosos têm preposto o Brasil por conta da LGPD, pois para não ser responsabilizada pelo vazamento de dados de clientes, a empresa paga o resgate.”
Para ele, no entanto, a LGPD é um progressão em proteção e transparência. “Antes, quando não tínhamos a LGPD, a empresa pagava o resgate e não divulgava zero, deixava o golpe em sigilo. Hoje, com o risco de os dados vazarem, elas vêm a público informar a invasão, o que é bom para o usuário”, diz Assolini.
“Sabendo que seus dados estavam expostos, o usuário pode trocar suas senhas e se proteger.”
A repórter viajou a Manaus (AM) a invitação da Kaspersky
