Toque Fantasma" frauda pagamentos por aproximação em segundos

Uma investigação da Kaspersky revelou uma nova e sofisticada modalidade de fraude, apelidada de "Toque Fantasma", que consegue iludir pagamentos por aproximação (NFC). Em questão de segundos, criminosos utilizam aplicativos maliciosos para interceptar o token de uma transação e retransmiti-lo para outro celular, que finaliza uma compra fraudulenta como se fosse o cartão original da vítima.

O Brasil se destaca negativamente nesse cenário, respondendo por quase metade (47%) dos bloqueios de tentativas dessa fraude identificadas globalmente, seguido da Índia, China e Espanha. Confira a nova tática dos golpistas e como se proteger.

Embora o pagamento por aproximação seja seguro por gerar um token único que se expira em segundos, a investigação da Kaspersky revelou que cibercriminosos encontraram uma forma de explorar a tecnologia para cometer fraudes. O novo golpe funciona de duas maneiras: presencialmente, usando dois celulares do criminoso para capturar e retransmitir os dados do pagamento por aproximação em tempo real, ou remoto, por meio de engenharia social (a famosa central falsa de banco/empresa de cartão) que fará a vítima instalar o aplicativo fraudulento para roubar os dados do cartão para os criminosos.

Como funciona o golpe?

Presencial

No golpe presencial, os criminosos exploram a agilidade do NFC para agir sem serem notados em locais movimentados. Utilizando dois celulares, um dos golpistas se aproxima o suficiente da vítima — seja em uma fila, show ou com o celular sobre a mesa de um café — para roubar o token de pagamento por aproximação pelo cartão ou smartphone.

Esse código é enviado em tempo real para um segundo aparelho, que é imediatamente encostado em uma maquininha para finalizar uma compra fraudulenta. O resultado é que a vítima tem seu dinheiro gasto sem ser infectado e, na maioria das vezes, sem perceber o que aconteceu.

Remoto

Nessa modalidade, o golpe se inicia com engenharia social: um criminoso liga para a vítima se passando por um funcionário do banco ou empresa do cartão e a convence a instalar um aplicativo falso para "validar" o cartão. Dentro do aplicativo, há instruções para a vítima aproximar um cartão físico do celular e, nesse exato momento, a fraude acontece.

O aplicativo malicioso intercepta o token de pagamento (NFC) gerado pelo cartão e o retransmite em tempo real para o celular do golpista. Com o token ativo, eles simplesmente encostam o aparelho em uma maquininha e concluem a compra. A fraude é quase sempre um golpe único por vítima, pois o token expira em segundos, tornando a transação irrepetível. Atualmente, o ataque afeta principalmente usuários de Android, sistema que permite a instalação de aplicativos fora de lojas oficiais.

Exemplos de aplicativos bancários falsos simulando a identidade visual de bancos reais

"Essa fraude mostra como os criminosos sabem bem como explorar as regras do jogo ao criar uma fraude sem precisar "hackear o sistema". Nossa análise mostra que, mesmo com as camadas de segurança existentes, a criatividade dos atacantes/cibercriminosos permitiu interceptar e o reenviar de dados de cartões, transformando a conveniência em um risco real para os consumidores", explica Anderson Leite, pesquisador de Segurança da Kaspersky.

Em canais do Telegram, circulam tutoriais e vídeos mostrando como configurar e usar esses aplicativos. Durante a investigação, a Kaspersky encontrou um vídeo demonstrando uma transação sendo concluída em uma maquininha e um cartão brasileiro, com interface em português e narração em inglês, visando alcançar um público maior. Embora apresentados como soluções para "pagamentos à distância", em que alguém poderia compartilhar dados de cartão com outra pessoa, como amigos e familiares, esses aplicativos são usados na prática por criminosos para realizar fraudes, aproveitando a aparência de legitimidade dos aplicativos falsos para enganar as vítimas.

Imagem que circula no Telegram mostrando como a fraude ocorre

Para evitar ataques de retransmissão NFC, a Kaspersky recomenda:

Dicas para o golpe presencial 

• Proteção física: Use carteiras ou porta-cartões que bloqueiem a comunicação via NFC, evitando que criminosos leiam os dados do cartão à distância.
• Monitore suas transações: Fique atento a qualquer movimentação suspeita em suas contas e faturas de cartão.

Dicas para o golpe à distância

• Atenção redobrada ao instalar aplicativos: Baixe apps apenas de lojas oficiais e verifique a reputação do desenvolvedor.
• Utilize uma solução de segurança confiável: Um antivírus robusto pode detectar e bloquear aplicativos maliciosos que tentam explorar a tecnologia NFC.