Uma nova tática de golpe digital, apelidada de “toque fantasma” ou “ghost tap”, está em ascensão no Brasil. Essa modalidade criminosa usa uma combinação de manipulação psicológica e softwares maliciosos para roubar dados de cartões de crédito e débito que utilizam a tecnologia de pagamento por aproximação (NFC). A técnica foi divulgada durante a Semana de Cibersegurança em Manaus.
O golpe, que surgiu na Ásia e já se espalhou por toda a América Latina, opera com a ajuda de programas maliciosos (malwares). O primeiro a ser identificado com essa capacidade foi o N-Gate, no início de 2024, seguido pelo Supercard, no final do mesmo ano, e, mais recentemente, o GhostNFC, que começou a circular entre julho e agosto de 2025.
De acordo com Anderson Leite, analista sênior de segurança da Kaspersky, a maior vulnerabilidade desse ataque não é tecnológica, mas sim humana. “O ataque mais preocupante não é o tecnológico, mas a forma como se convence. Na minha opinião, [neste golpe] é a ligação para a vítima”, comenta o especialista.
Como o golpe funciona?
Tudo começa com uma ligação telefônica. O golpista se passa por um funcionário do banco ou da operadora de cartão e, através de engenharia social, convence a vítima a baixar um aplicativo fraudulento. Esse app é geralmente enviado por SMS, WhatsApp ou e-mail.
Após a instalação, a vítima é instruída a aproximar o cartão do celular para supostamente validar informações. Nesse exato momento, o programa malicioso rouba o código de pagamento por aproximação, um token temporário com validade de 20 a 30 segundos. Em alguns casos, o aplicativo também pede a senha do cartão.
Com outro dispositivo, o criminoso intercepta os dados da operação NFC e, em posse dessas informações, realiza compras, pagamentos e transferências em nome da vítima. Para não levantar suspeitas, os golpistas costumam começar com transações de valores baixos. Se a senha do cartão for obtida, eles podem realizar transações de alto valor. O CPF e outras informações pessoais também podem ser capturados durante o processo.
“Toque fantasma” x “Mão fantasma”
O “toque fantasma” é diferente de outro golpe conhecido como “mão fantasma”. Enquanto o primeiro foca em roubar dados de cartão via tecnologia NFC para realizar compras fraudulentas, o segundo tem como alvo o roubo de dinheiro diretamente de contas bancárias e aplicativos financeiros.
Os métodos também são distintos. No golpe da mão fantasma, os criminosos induzem a vítima a baixar um cavalo de troia bancário (trojan) que permite acesso remoto ao dispositivo. Já no “toque fantasma”, a estratégia se concentra em capturar os dados do cartão por aproximação.
Aumento dos sequestros digitais e a importância da LGPD
Entre julho de 2024 e agosto de 2025, houve um aumento de 12% nos sequestros de contas digitais no Brasil, segundo dados da Kaspersky. O golpe do “toque fantasma” contribui para essa estatística, representando uma ameaça crescente para consumidores e empresas.
Fabio Assolini, especialista da Kaspersky, explica que os criminosos veem o Brasil como um alvo atraente devido à Lei Geral de Proteção de Dados (LGPD). “Acreditamos que os criminosos têm preferido o Brasil por conta da LGPD, pois para não ser responsabilizada pelo vazamento de dados de clientes, a empresa paga o resgate”, afirma.
Apesar de ser um fator de risco, a LGPD é vista por Assolini como um avanço para a segurança digital. Antes da lei, as empresas pagavam o resgate e mantinham o ataque em segredo. Hoje, com a LGPD, elas precisam informar publicamente sobre a invasão, o que permite aos usuários tomar medidas de proteção. “Sabendo que seus dados estavam expostos, o usuário pode trocar suas senhas e se proteger”, ressalta.
Como se proteger?
Para evitar ser vítima do golpe, especialistas recomendam:
- Nunca baixe aplicativos enviados por links em SMS, WhatsApp ou e-mail. Sempre procure os programas nas lojas oficiais, como Google Play e Apple Store.
- Desconfie de ligações telefônicas que pedem dados pessoais ou a instalação de aplicativos. Lembre-se que bancos brasileiros geralmente não solicitam esse tipo de informação por telefone. Para verificar a legitimidade do contato, ligue para os números oficiais da instituição financeira.
- Nunca informe sua senha em aplicativos não oficiais.
- Em caso de roubo de cartão com tecnologia NFC, bloqueie-o imediatamente e registre um boletim de ocorrência.
- Ative limites de transação para restringir o valor máximo que pode ser gasto por aproximação, de acordo com o seu perfil de uso.
- Mantenha-se alerta e desconfie de mensagens que criam senso de urgência ou ameaças.
Sem comentários! Seja o primeiro.