NFC Ghost Tap: A Fraude por Aproximação que Cresceu 35x em 2025
Ataques Ghost Tap retransmitem dados NFC de cartões roubados para realizar compras fraudulentas por aproximação no mundo todo. Saiba como funciona, quem é alvo e como se proteger.
NFC Ghost Tap: A Fraude por Aproximação que Cresceu 35x em 2025
Aproximar o cartão, pegar o café, ir embora. Pagamentos por aproximação são rápidos, convenientes e agora um alvo favorito dos cibercriminosos. Uma técnica chamada Ghost Tap teve um aumento de 35x desde o início de 2025, transformando dados roubados de cartão em compras não rastreáveis pelo mundo.
O Que É um Ataque Ghost Tap?
Ghost Tap é um ataque de retransmissão NFC. Em vez de clonar fisicamente seu cartão, os atacantes capturam os dados NFC do seu cartão e os retransmitem em tempo real para um dispositivo remoto que faz compras em seu nome. Veja a cadeia:
- Roubar dados do cartão — Através de phishing, malware em apps bancários ou engenharia social, atacantes obtêm número do cartão e OTP
- Vincular à carteira digital — Os dados roubados são carregados no Apple Pay ou Google Wallet em um celular controlado pelo atacante
- Retransmitir via proxy NFC — Software como NFCGate retransmite o sinal NFC para uma rede de "laranjas"
- Aproximar e comprar — Laranjas entram em lojas e fazem compras por aproximação abaixo do limite, evitando exigência de senha
Todo o processo acontece em segundos. Seu cartão nunca sai do bolso, mas alguém em outro país está comprando eletrônicos com ele.
Por Que o Ghost Tap É Difícil de Detectar
A detecção tradicional de fraude procura padrões suspeitos — locais incomuns, valores altos, transações rápidas. O Ghost Tap burla essas verificações:
| Método de Detecção | Por Que o Ghost Tap Escapa |
|---|---|
| Verificação de localização | Compras acontecem em terminais POS reais em lojas normais |
| Limites de valor | Cada transação fica abaixo do limite de aproximação (tipicamente R$ 200) |
| Flags de cartão presente | O sinal NFC parece idêntico a uma aproximação legítima |
| Verificação de velocidade | Laranjas espalham compras entre diferentes comerciantes e cidades |
| Fingerprinting de dispositivo | Cada laranja usa um celular diferente |
Bancos veem o que parece ser uma compra normal em loja. A transação tem handshake NFC válido, terminal de comerciante real e valor pequeno. Nada dispara um alerta até o titular do cartão notar cobranças que não fez.
O Crescimento de 35x: O Que Mudou
Vários fatores impulsionaram a explosão do Ghost Tap em 2025:
Ferramentas NFC de Código Aberto
NFCGate, desenvolvido como ferramenta acadêmica de pesquisa NFC, tornou-se amplamente disponível. Embora criado para pesquisa de segurança legítima, suas capacidades de retransmissão NFC agora são documentadas em tutoriais de fraude em Telegram e fóruns da dark web.
Adoção de Carteiras Digitais
Conforme mais bancos habilitaram pagamento por aproximação pelo Apple Pay e Google Wallet, a superfície de ataque cresceu. Vincular um cartão roubado a uma carteira digital é trivialmente fácil quando você tem o número do cartão e um código de verificação único.
Redes Organizadas de Laranjas
Redes criminosas recrutam laranjas pelas redes sociais, oferecendo uma porcentagem de cada compra fraudulenta. Um único cartão roubado pode gerar dezenas de pequenas compras em múltiplos países simultaneamente.
Quem Está Mais em Risco?
- Qualquer pessoa com cartões por aproximação — O padrão para maioria dos cartões emitidos desde 2020
- Usuários de carteiras digitais — Particularmente quem não ativou autenticação biométrica para cada transação
- Pessoas que respondem a phishing — O ponto de entrada geralmente é um SMS ou e-mail falso pedindo verificação de cartão
- Viajantes — Locais desconhecidos de transação dificultam notar cobranças fraudulentas
Como se Proteger
Passos Imediatos
- Ative notificações de transação — Alertas em tempo real para cada transação são sua primeira linha de defesa
- Defina limites baixos de aproximação — Muitos bancos permitem definir limites personalizados pelo app
- Use verificação biométrica — Ative Face ID ou digital para cada transação na carteira digital
- Nunca compartilhe OTPs — Nenhum banco vai ligar ou mandar mensagem pedindo sua senha de uso único
- Confira extratos semanalmente — Cobranças fraudulentas pequenas (R$ 30-100) são projetadas para passar despercebidas
Proteção Avançada
- Use números de cartão virtual — Serviços que geram números descartáveis limitam exposição se dados forem roubados
- Desative NFC quando não estiver usando — No Android, NFC pode ser desligado nas configurações rápidas
- Solicite senha para todas as transações — Alguns bancos permitem remover transações apenas por aproximação
- Congele cartões não utilizados — A maioria dos apps bancários permite congelar instantaneamente um cartão
Proteja Seus Dados Sensíveis Online
Ghost Tap começa com dados roubados — números de cartão, OTPs, informações pessoais. Cada informação sensível que você compartilha online é um ponto de entrada potencial. Ao compartilhar senhas, dados financeiros ou links privados, use canais criptografados em vez de texto puro em mensagens.
O LOCK.PUB permite compartilhar informações sensíveis através de links protegidos por senha com expiração automática. Em vez de enviar dados de cartão ou códigos de segurança pelo WhatsApp onde ficam no histórico de chat indefinidamente, crie um link protegido que expira após o destinatário acessar.
O Que Fazer Se Você For Vítima
- Congele seu cartão imediatamente pelo app do banco
- Ligue para o departamento de fraudes do banco — A maioria reembolsa transações não autorizadas por aproximação
- Faça um Boletim de Ocorrência — Exigido por muitos bancos para contestações de fraude
- Verifique todas as carteiras vinculadas — Confirme quais dispositivos têm seu cartão registrado no Apple Pay, Google Pay ou Samsung Pay
- Troque a senha do app bancário — Se o atacante obteve seu OTP, suas credenciais do app também podem estar comprometidas
O Quadro Geral
Ghost Tap é um sintoma de uma tensão fundamental nos pagamentos: conveniência versus segurança. Transações por aproximação foram projetadas para serem sem atrito. Essa mesma falta de atrito é exatamente o que os atacantes exploram.
Bancos e redes de pagamento estão trabalhando em detecção melhorada — analisando anomalias de timing NFC, atestação de dispositivo e biometria comportamental. Mas essas defesas levam tempo para serem implantadas em milhões de terminais POS pelo mundo.
Até lá, sua melhor defesa é a conscientização. Saiba que o Ghost Tap existe, ative notificações e trate cada solicitação de OTP de fonte desconhecida como sinal de alerta.
A segurança das suas informações financeiras vai além dos seus cartões. Cada senha, cada credencial de login, cada dado pessoal que você compartilha faz parte da sua superfície de segurança. Ferramentas como o LOCK.PUB ajudam a minimizar essa superfície garantindo que dados sensíveis não persistam em canais desprotegidos.
Fique atento. A aproximação pode ser conveniente, mas deve ser sempre a sua.
Keywords
You might also like
Segurança de Impressoras: Sua Impressora Armazena Cada Documento e Pode Ser Hackeada
Impressoras armazenam cópias de cada documento em HDs internos, podem ser hackeadas remotamente e imprimem pontos de rastreamento invisíveis. Conheça os riscos ocultos e como se proteger.
Dicas de Segurança Online para Iniciantes: Guia Simples para Ficar Seguro na Internet
Um guia direto de segurança na internet para quem não é expert em tecnologia. Aprenda o básico de senhas fortes, autenticação de dois fatores, phishing, Wi-Fi público e mais.
Guia de Videochamadas Seguras: Proteja suas Reuniões no Zoom, Google Meet e Teams
Aprenda a proteger suas videochamadas contra invasões, vazamento de links e gravações não autorizadas. Melhores práticas para Zoom, Google Meet, Microsoft Teams e FaceTime.
Create your password-protected link now
Create password-protected links, secret memos, and encrypted chats for free.
Get Started Free