“Golpe do toque fantasma” rouba dados do cartão por aproximação

O golpe do toque fantasma é a mais nova armadilha no mundo dos crimes virtuais para roubar valores de quem usa o cartão por aproximação, seja para pagamentos no crédito ou no débito.

A fraude consiste em roubar os dados do cartão do usuário de forma fantasma, sem que ele perceba, por meio de um aplicativo que a própria pessoa instala no seu celular a pedido do golpista.

Como foi detectado

A fraude tem sido monitorada pela empresa de segurança na internet e proteção de dados Kaspersky e seu funcionamento foi detalhado na Semana de Cibersegurança, em Manaus (AM).

Segundo Anderson Leite, analista sênior de segurança da Kaspersky, a tática teve origem na Ásia, onde grupos criminosos compartilhavam cartões roubados e realizavam transações de forma remota entre diferentes cidades, utilizando a tecnologia e a engenharia social.

Agora, o golpe começa a ganhar força no Brasil, com adaptações para o público local, e já foi localizado em toda a América Latina. De acordo com ele, a fraude utiliza não só a tecnologia, mas a psicologia para convencer o cidadão a instalar um aplicativo no celular e, depois, aproximar o cartão, fazendo com que os dados sejam roubados.

Como funciona o golpe

A fraude funciona da seguinte forma: o golpista telefona para o cliente fazendo se passar por representante do seu banco ou da operadora de cartão de crédito. Ao ser atendido, informa que precisa validar os dados do cartão e que, para isso, é necessário que se baixe um aplicativo no celular.

Ele envia o app por SMS, WhatsApp ou email para a vítima. Ao baixá-lo, o cidadão é orientado a aproximar o seu cartão ao celular para validar os dados. É neste momento que ocorre o roubo do código gerado por NFC, um token temporário que dura de 20 a 30 segundos. Há casos em que o falso programa pede, inclusive, a senha de pagamentos do usuário.

A distância e de forma fantasma, utilizando um outro celular, o criminoso captura os dados da operação NFC. Com essas informações, começa a fazer pagamentos, compras e transferências em nome da vítima em uma máquina de pagamento que está próxima do celular do golpista.

Segundo Leite, em geral, o fraudador começa a fazer várias compras de pequeno valor. Se tiver a senha, no entanto, pode fazer transferências ou compras de alto valor, deixando o prejuízo com o usuário.

Qual a diferença entre a mão fantasma e o toque fantasma?

No golpe da mão fantasma o objetivo é roubar dinheiro por internet banking ou aplicativo do banco no celular. No caso do toque fantasma, o objetivo é fraudar o cartão de crédito ou débito para realizar compras.

A forma de agir também é diferente. No mão fantasma, é necessário que a vítima baixe e instale um trojan bancário que permite o acesso remoto ao celular ou computador. Então existe uma infecção do dispositivo.

Já no golpe do toque fantasma, o criminoso precisa ter dois celulares, um com o programa malicioso, em geral instalado pela vítima no próprio celular, e o outro que fará a fraude em si, de forma fantasma, roubando o token NFC, e que estará com o golpista.

Uso de psicologia e boa-fé

Fábio Assolini, gerente da Kaspersky para a América Latina, afirma que o que mais vem preocupando empresas de cibersegurança são os golpes com uso da psicologia, agindo com a boa-fé das pessoas.

Esse tipo de golpe, segundo ele, é muito difícil de evitar e, caso o cidadão tenha prejuízo, nem sempre consegue ser ressarcido, porque ele mesmo baixou o aplicativo e fez a aproximação, ou seja, praticamente forneceu seus dados ao golpista.

Leite considera que o ponto mais preocupante no golpe do toque fantasma é a ligação telefônica como forma de persuasão do usuário. Quando o criminoso já possui alguns dados da vítima —como CPF ou nome completo—, diz ele, a abordagem se torna ainda mais convincente.

“O ataque mais preocupante não é o tecnológico, mas a forma como se convence. Na minha opinião, [neste golpe] é a ligação para a vítima”, afirma o analista de cibersegurança.

*Com informações do site Portal Unico.