Uma nova e sofisticada fraude cibernética, apelidada de “toque espectral”, surgiu em meados de 2025 para comprometer cartões bancários e roubar fundos de vítimas no Brasil e na América Latina.
O golpe, detalhado por uma firma de segurança digital, funciona por engenharia social e um software malicioso, no qual criminosos convencem a pessoa a encostar o cartão no próprio celular, capturando dados para realizar transações fraudulentas de forma dissimulada.
A arquitetura do engodo é multifacetada, começando com um ato de manipulação psicológica. Os criminosos contatam suas vítimas por telefone, passando-se por funcionários de instituições financeiras.
Com o pretexto de uma atualização de segurança, eles induzem a pessoa a instalar um aplicativo malicioso em seu smartphone, cujo link é enviado por mensagem. Uma vez que o software espião está ativo, o golpe avança para sua fase crítica.
A vítima é persuadida a realizar uma “verificação de segurança” encostando o cartão de crédito ou débito com tecnologia NFC no aparelho. Nesse exato momento, o aplicativo captura a credencial de autenticação volátil, um código de uso único com validade de menos de um minuto.
Em alguns casos, para agravar a situação, o aplicativo também solicita a senha pessoal do cartão, sob o mesmo pretexto de validação.
Riscos e Métodos de Proteção
Com os dados em mãos, os fraudadores agem rapidamente. Eles utilizam um terminal de pagamento para efetuar uma série de compras de baixo valor, explorando o código temporário antes que ele expire. Esta tática visa passar despercebida pelos sistemas de monitoramento de fraude dos bancos.
No entanto, se a senha do cartão também foi obtida, os prejuízos podem ser significativamente maiores, levando a perdas financeiras consideráveis. A principal linha de defesa para o cidadão é a desconfiança.
É vital saber que bancos e administradoras de cartão nunca solicitarão a instalação de softwares por canais informais ou pedirão para que um cartão seja aproximado do celular durante uma ligação.
A recomendação é sempre desligar a chamada e contatar a instituição por seus canais oficiais para verificar qualquer informação suspeita.
