Toque Fantasma: entenda o golpe que clona cartões por NFC e saiba como evitar

O universo das fraudes digitais não para de evoluir. O mais recente golpe identificado no Brasil é o toque fantasma, conhecido internacionalmente como Ghost Tap. A fraude combina engenharia social com tecnologia NFC para capturar dados de cartões e realizar compras por aproximação sem que a vítima perceba.

Onde surgiu e quando

O termo Ghost Tap começou a aparecer em relatórios de empresas de cibersegurança em 2024 para descrever ataques de relay NFC — quando sinais do cartão são retransmitidos em tempo real para um terminal de pagamento. Em 2025, variantes desse esquema passaram a ser observadas com maior frequência em ataques direcionados a consumidores brasileiros.

Quando foi identificado no Brasil

No Brasil, o golpe ganhou atenção em agosto e setembro de 2025, quando reportagens e alertas oficiais descreveram campanhas em que golpistas ligavam para clientes, se passando por funcionários de bancos, orientavam a instalação de um app falso e pediam que a pessoa aproximasse o cartão do celular — momento em que dados eram capturados e retransmitidos (relay) para completar transações fraudulentas.

Como funciona o golpe

1. Contato inicial: o criminoso liga ou envia mensagem alegando atividade suspeita e gera senso de urgência.

2. Aplicativo falso: a vítima é induzida a instalar um app malicioso que solicita permissões de NFC.

3. “Encoste o cartão no celular”: a pessoa aproxima o cartão; o app captura os dados.

4. Relay em tempo real: um segundo aparelho do fraudador, conectado a uma maquininha, recebe esses dados transmitidos em tempo real e emula o cartão.

5. Compra aprovada: muitas operações por aproximação até certo valor não exigem senha, permitindo múltiplas compras rápidas.

Como funciona o esquema “Ghost Tap”?

Para executar essa fraude, os invasores combinam tecnologia e acesso a credenciais. Elementos típicos exigidos:

• Cartão roubado ou credenciais vinculadas a carteiras móveis (Apple Pay, Google Pay).

• Credenciais do titular (login, tokens ou OTPs), frequentemente obtidas por phishing ou malware.

• App malicioso no aparelho da vítima que atua como leitor e transmissor NFC.

• Dois dispositivos sob controle dos criminosos: um perto do cartão/vítima para capturar o sinal NFC; outro perto de um terminal POS para emular o cartão.

• Infraestrutura de relay para retransmitir os sinais em tempo real, com baixa latência, simulando presença física.

Com esse conjunto, um gesto simples — “encostar o cartão” — é transformado em operações realizadas à distância, sem que o terminal perceba irregularidade.

Os riscos e desafios na detecção

A tática Ghost Tap apresenta desafios reais para sistemas antifraude e investigações:

• Transações parecem legítimas: o pagamento é originado por um dispositivo com o cartão vinculado corretamente.

• Valores baixos e repetição: criminosos operam com valores modestos para evitar gatilhos de fraude.

• Localização mascarada: dispositivos podem usar modo avião, VPNs ou técnicas de relay, dificultando a identificação da localização real.

• Latência plausível: os sinais retransmitidos mantêm tempos de resposta normais, confundindo sistemas de detecção.

Sinais que podem indicar fraude e merecem monitoramento:

• Vinculação de cartão a dispositivos potencialmente comprometidos (telemetria ou indicadores de comprometimento).

• “Tempo de viagem impossível”: transações em locais geograficamente distantes em intervalos curtos.

• Sequência rápida de compras por aproximação em pontos de venda distintos logo após um contato de suporte suspeito.

• Vinculações/tokenizações feitas por canais incomuns para aquele cliente.

• Relatos de clientes sobre ligações solicitando instalação de apps ou “verificação” por telefone.

Diferença entre Mão Fantasma e Toque Fantasma (Ghost Tap)

• Mão Fantasma: controle remoto do celular via apps com permissões de acessibilidade — objetivo: acessar apps bancários, abrir operações e fazer transferências/Pix.

• Toque Fantasma (Ghost Tap): foco em cartões/contactless — objetivo: capturar dados NFC e retransmiti-los em tempo real para realizar transações à distância.

Psicologia usada pelos golpistas

A engenharia social segue sendo o gatilho principal: urgência, autoridade (“somos do seu banco”), instruções simples e pedido de sigilo. Esses gatilhos emocionais levam muitas vítimas a executar ações técnicas sem avaliar riscos.

Como se proteger do Ghost Tap

• Desconfie de ligações pedindo instalação de apps ou para “encostar o cartão” para verificação.

• Instale apps apenas em lojas oficiais (Google Play, App Store) e verifique desenvolvedor e avaliações.

• Desative o NFC quando não estiver usando.

• Solicite ao banco limites rígidos para contactless ou exigir PIN para todas as transações.

• Ative alertas push/SMS para cada transação e revise extratos com frequência.

• Bloqueie o cartão imediatamente ao menor sinal de movimentação suspeita e comunique a instituição.

• Nunca forneça senhas, OTPs ou códigos por telefone.

Cuidados extras para cartões corporativos

• Defina políticas de limite e dupla autorização para compras por aproximação.

• Monitore em tempo real e envie alertas para gestores.

• Restrinja instalação de apps em dispositivos corporativos e mantenha whitelist de apps permitidos.

• Realize treinamentos e simulações de engenharia social com equipes.

Conclusão

O toque fantasma (Ghost Tap) demonstra como engenharia social e técnicas tecnológicas (NFC/relay - “retransmissão em tempo real de dados”) podem se combinar para fraudar pagamentos modernos. A detecção é complexa, mas não impossível: prevenção, monitoramento de sinais atípicos e educação dos usuários reduzem significativamente o risco. Instituições e empresas precisam revisar regras operacionais e aprimorar modelos antifraude para enfrentar essa nova frente de ataque.

Glossário

• Relay (ataque de retransmissão): técnica em que dados capturados em um dispositivo são retransmitidos em tempo real para outro, simulando presença física no terminal de pagamento.