Criminosos usam tecnologia NFC e engenharia social para roubar dados de cartões; Kaspersky alerta para riscos crescentes na América Latina
Um novo tipo de fraude digital vem se espalhando pelo Brasil e acende alerta entre especialistas em cibersegurança. Conhecido como golpe do toque fantasma (ghost tap), o esquema permite que golpistas capturem dados de cartões de crédito e débito por aproximação, sem que a vítima perceba.
O ataque utiliza a tecnologia NFC (Near Field Communication), presente em cartões, celulares e relógios inteligentes. A prática foi detalhada pela empresa de segurança Kaspersky durante a Semana de Cibersegurança, realizada em Manaus (AM).
Segundo Anderson Leite, analista sênior da companhia, a fraude nasceu na Ásia e se espalhou por diferentes continentes. “O ataque mais preocupante não é o tecnológico, mas a forma como se convence. Na minha opinião, [neste golpe] é a ligação para a vítima”, afirmou.
como funciona o golpe
O fraudador se passa por funcionário do banco e entra em contato por telefone, informando que é necessário validar dados do cartão. Para isso, pede que o usuário instale um aplicativo enviado por SMS, WhatsApp ou e-mail.
Ao baixar o programa e aproximar o cartão do celular, a vítima gera um token temporário, que dura de 20 a 30 segundos. Nesse intervalo, o criminoso, à distância, captura as informações em outro aparelho e começa a realizar compras ou transferências.
De acordo com a Kaspersky, os primeiros malwares com essa função foram o N-Gate (início de 2024), o Supercard (final de 2024) e, mais recentemente, o GhostNFC, que passou a circular entre julho e agosto de 2025. Já há brasileiros identificados entre os golpistas.
Diferença para o golpe da mão fantasma
Embora semelhantes, o golpe da mão fantasma e o toque fantasma têm finalidades distintas. No primeiro, o objetivo é obter acesso ao internet banking por meio da instalação de trojans que permitem controle remoto do dispositivo da vítima. Já no segundo, a fraude mira diretamente cartões de crédito e débito, explorando o uso do NFC.
Cartão roubado também é alvo
O golpe também pode ocorrer quando o cartão físico é roubado. O criminoso utiliza aplicativos clandestinos para realizar transações por aproximação, respeitando apenas o limite autorizado pelo banco.
Engenharia social como arma
Para Fábio Assolini, gerente da Kaspersky para a América Latina, a maior ameaça está na manipulação psicológica dos usuários. “O que mais preocupa são os golpes com uso da psicologia, agindo com a boa-fé das pessoas”, disse.
Segundo ele, muitas vezes as vítimas não conseguem ser ressarcidas, já que elas próprias instalaram o aplicativo e forneceram os dados ao golpista.
Como se proteger
Entre as medidas de prevenção, especialistas destacam:
- nunca clicar em links enviados por SMS, WhatsApp ou e-mail;
- baixar aplicativos somente nas lojas oficiais (Google Play e Apple Store);
- entrar em contato diretamente com o banco por canais oficiais em caso de dúvidas;
- bloquear imediatamente o cartão em caso de roubo e registrar boletim de ocorrência.
Outras recomendações incluem não informar senhas em apps não oficiais, definir limites de gastos no cartão e desconfiar de mensagens que criem sensação de urgência — tática comum em golpes de engenharia social.
Risco maior para cartões corporativos
Em casos de cartões corporativos, a atenção deve ser redobrada. Se o colaborador instalar aplicativos fraudulentos ou compartilhar dados sensíveis, pode gerar prejuízos à empresa e até enfrentar medidas disciplinares. Além do impacto financeiro, companhias correm risco de multas relacionadas à LGPD (Lei Geral de Proteção de Dados) e extorsões por criminosos.
Sequestro de contas cresce 12% no país
O relatório da Kaspersky também aponta aumento de 12% nos casos de sequestro de contas no Brasil entre julho de 2024 e agosto de 2025. A prática consiste em invadir sistemas, criptografar dados e exigir resgate financeiro para liberar o acesso.
Assolini explica que os criminosos avaliam a capacidade de pagamento das empresas antes de exigir valores. Mesmo após o primeiro pagamento, é comum que haja novas extorsões. “Acreditamos que os criminosos têm preferido o Brasil por conta da LGPD, pois para não ser responsabilizada pelo vazamento de dados de clientes, a empresa paga o resgate.”
Apesar disso, o especialista defende que a legislação representa avanço. “Antes, quando não tínhamos a LGPD, a empresa pagava o resgate e não divulgava nada. Hoje, com o risco de os dados vazarem, elas vêm a público informar a invasão, o que é bom para o usuário”, disse.
(Fonte: Folhapress)
