Golpe do toque fantasma rouba dados de cartões por aproximação e preocupa especialistas

O golpe do toque fantasma é a mais nova ameaça digital para quem utiliza cartões por aproximação no crédito ou no débito. A fraude, já identificada em países da Ásia, chegou à América Latina e registra casos no Brasil. Além disso, o funcionamento é silencioso. No golpe, os criminosos convencem a vítima a instalar um aplicativo falso no celular e aproximar o cartão. Nesse momento, os dados são capturados em tempo real sem que o usuário perceba.

A fraude aproveita a tecnologia NFC (Near Field Communication), usada em pagamentos por aproximação em cartões, celulares e relógios digitais. Toda a ação foi monitorada pela Kaspersky, empresa de cibersegurança, e detalhada durante a Semana de Cibersegurança, em Manaus (AM).

Segundo Anderson Leite, analista sênior de segurança da empresa, a prática nasceu na Ásia. Grupos criminosos utilizavam cartões roubados e realizavam transações de forma remota entre diferentes cidades. Agora, a tática se espalha pelo Brasil, adaptada à realidade local. “O ataque mais preocupante não é o tecnológico, mas a forma como se convence. Na minha opinião, [neste golpe] é a ligação para a vítima”, afirmou o analista de cibersegurança à Folha de São Paulo.

Malware e engenharia social ampliam riscos

Conhecido também como ghost tap, o golpe do toque fantasma combina engenharia social e programas maliciosos. O primeiro malware com essa capacidade foi o N-Gate, identificado em 2024. Depois surgiram o Supercard e, mais recentemente, o GhostNFC, ativo desde meados de 2025.

Em muitos casos, o golpista se passa por representante do banco ou operadora de cartão. Ele orienta a vítima a baixar um aplicativo enviado por SMS, WhatsApp ou e-mail. Após a instalação, o usuário é instruído a aproximar o cartão para validar dados. O contato gera um token temporário, capturado em tempo real pelo criminoso.

Segundo Leite, os primeiros gastos são geralmente de baixo valor. Porém, quando os criminosos conseguem a senha do cartão, avançam para compras e transferências de maior porte.

Diferença entre mão fantasma e toque fantasma

O golpe do toque fantasma não deve ser confundido com a chamada "mão fantasma". No primeiro caso, a fraude tem como alvo cartões de crédito e débito. Já a mão fantasma busca acesso ao internet banking ou aplicativos bancários.

No toque fantasma, o criminoso precisa de dois celulares. Um fica com a vítima, que instala o app falso, e o outro permanece com o golpista, que realiza a captura do token NFC. Já na mão fantasma, o ataque depende da instalação de um trojan bancário, que dá acesso remoto ao dispositivo da vítima.

O que acontece se o cartão for roubado

Outra possibilidade do golpe do toque fantasma ocorre quando o cartão físico é furtado. Mesmo sem senha, o golpista consegue realizar compras por aproximação até o limite autorizado pelo banco. Para especialistas, a vulnerabilidade está na simultaneidade da transação. O token NFC é único e criptografado, mas pode ser usado pelo fraudador no mesmo instante da validação feita pela vítima.

Persuasão psicológica é parte central do golpe do toque fantasma

Fábio Assolini, gerente da Kaspersky para a América Latina, explica que a combinação entre tecnologia e persuasão psicológica torna o golpe difícil de evitar.  Segundo o especialista, esse tipo de golpe é muito difícil de evitar e, caso o cidadão tenha prejuízo, nem sempre consegue ser ressarcido, porque ele mesmo baixou o aplicativo e fez a aproximação.

Leite reforça que a ligação telefônica é o ponto mais delicado. Quando os golpistas já têm dados pessoais como nome completo ou CPF, a abordagem se torna ainda mais convincente.

Crédito: RSplaneta/Shutterstock

Como se proteger contra o golpe do toque fantasma

Especialistas indicam que os usuários jamais baixem aplicativos enviados por links em SMS, WhatsApp ou e-mails. O ideal é recorrer apenas às lojas oficiais de aplicativos, como Google Play e Apple Store. Outra recomendação é ligar para o banco nos canais oficiais caso receba contato suspeito.

Algumas medidas de proteção incluem:

• Bloquear imediatamente cartões roubados e registrar boletim de ocorrência.

• Nunca informar senha ou PIN em aplicativos que não sejam os oficiais.

• Definir limites de transações compatíveis com o perfil de consumo.

• Desconfiar de mensagens que provoquem pânico ou urgência.

Assolini alerta ainda para riscos adicionais no caso de cartões corporativos. O uso de dispositivos da empresa para baixar aplicativos maliciosos pode expor dados sigilosos, gerar multas por violação da Lei Geral de Proteção de Dados (LGPD) e até levar à demissão do trabalhador.

Cresce o sequestro de contas no Brasil

O aumento do golpe do toque fantasma ocorre em paralelo ao crescimento de outro crime digital: o sequestro de contas. Segundo a Kaspersky, esse tipo de ataque subiu 12% no Brasil entre julho de 2024 e agosto de 2025.

Nesse esquema, criminosos invadem sistemas após cliques em links falsos ou instalação de apps fraudulentos. Depois, bloqueiam o acesso às informações e exigem pagamento de resgate. “Acreditamos que os criminosos têm preferido o Brasil por conta da LGPD, pois para não ser responsabilizada pelo vazamento de dados de clientes, a empresa paga o resgate.”, afirma Assolini. Para ele, a legislação aumentou a transparência sobre incidentes. “Hoje, com o risco de os dados vazarem, elas vêm a público informar a invasão, o que é bom para o usuário”, explica.

Você deseja entender melhor sobre como golpes e fraudes digitais funcionam? Quer saber como eles podem impactar o seu dia a dia? Então conheça a websérie Digital Sem Medo e aprenda sobre o universo digital de forma rápida e simples!

Leia também:

Golpes mais aplicados em idosos: conheça os 10 mais comuns no Brasil

Golpes e fraudes: especialista revela a tática usada por criminosos

Digital Sem Medo: Instituto de Longevidade MAG lança websérie para capacitar pessoas 50+