O chamado golpe do toque fantasma é a mais nova ameaça no mundo dos crimes virtuais no Brasil. A fraude, que já vinha sendo monitorada em outros países, utiliza a tecnologia NFC (Near Field Communication) — presente em cartões, celulares e relógios digitais — para roubar dados de pagamentos por aproximação. O esquema combina engenharia social e malware e tem como alvo principalmente consumidores que instalam aplicativos falsos enviados por criminosos.
De acordo com a empresa de segurança Kaspersky, a fraude chegou ao Brasil em 2025 após ganhar força na Ásia e se espalhar pela América Latina. O analista Anderson Leite explica que, nesses golpes, o criminoso liga para a vítima se passando por funcionário do banco ou da operadora do cartão e orienta o usuário a instalar um aplicativo malicioso. Em seguida, pede que o cartão seja aproximado do celular para “validação”. Nesse momento, o código gerado pelo NFC é capturado em tempo real e usado para compras fraudulentas.
O token, que deveria ser utilizado apenas para aquela transação específica, é interceptado e replicado à distância em outro aparelho controlado pelo golpista. A partir disso, pequenas compras começam a ser feitas rapidamente. Caso o fraudador consiga obter também a senha, as operações podem incluir transferências e aquisições de alto valor.
A fraude já passou por várias evoluções. O primeiro malware identificado com essa função foi o N-Gate, em 2024. Depois surgiram o Supercard e, mais recentemente, o GhostNFC, detectado entre julho e agosto de 2025. Investigações apontam inclusive a participação de brasileiros nos esquemas.
O golpe se diferencia de outro conhecido como “mão fantasma”. Enquanto este infecta o celular ou computador com um trojan bancário para acessar o internet banking da vítima, o “toque fantasma” foca no uso do cartão por aproximação, exigindo dois celulares: o da vítima, onde o app falso é instalado, e o do golpista, que concretiza a transação remota.
Segundo a Kaspersky, um dos pontos mais preocupantes é a persuasão via ligação telefônica. Ao já ter informações como nome ou CPF, o criminoso consegue convencer a vítima com maior facilidade. “O ataque mais preocupante não é o tecnológico, mas a forma como se convence. A ligação é o ponto-chave desse golpe”, alerta Leite.
Além do risco financeiro, há dificuldades para o ressarcimento das vítimas. Isso porque muitas vezes o próprio usuário baixa o aplicativo falso e fornece os dados sem perceber que está sendo enganado.
Como se proteger
Especialistas recomendam que consumidores nunca baixem aplicativos enviados por SMS, WhatsApp ou e-mail, utilizando apenas lojas oficiais como Google Play e Apple Store. Também é essencial desconfiar de qualquer contato que peça “validação de dados” por telefone e ligar diretamente para o banco por números oficiais.
Em caso de roubo de cartão com função de aproximação, o ideal é bloqueá-lo imediatamente e registrar um boletim de ocorrência. Ativar limites de transação no cartão e evitar informar senha fora do aplicativo oficial do banco também são medidas adicionais de segurança.
Crescimento de outros ataques
A Kaspersky também alerta para a alta nos sequestros de contas corporativas, que cresceram 12% no Brasil em 12 meses. Nesse modelo de ataque, criminosos invadem sistemas, criptografam dados e exigem resgate. Muitas empresas, temendo multas por vazamento de informações sob a LGPD (Lei Geral de Proteção de Dados), acabam cedendo às extorsões.
Segundo Fábio Assolini, gerente da Kaspersky para a América Latina, a legislação trouxe avanços ao obrigar companhias a notificarem incidentes de segurança. “Antes, tudo era mantido em segredo. Hoje, quando há vazamento, as empresas comunicam os usuários, que podem trocar senhas e reforçar sua proteção”, disse.
Para ele, o maior desafio no Brasil está na combinação entre tecnologia e psicologia. “Esses golpes exploram a boa-fé das pessoas. A prevenção passa por informação, cautela e conscientização.”
