Ghost-Tapping: a nova técnica de cibercrime que desafia estratégias de segurança empresarial

As fraudes digitais evoluem em velocidade impressionante, impulsionadas por tecnologias acessíveis e redes criminosas globais. No Sudeste Asiático, uma técnica inovadora vem preocupando autoridades e o setor empresarial: o ghost-tapping. Esse golpe combina engenharia social, roubo de dados bancários e o uso estratégico do varejo de luxo para lavar dinheiro, criando um ecossistema de difícil rastreamento.

Para bancos, empresas e varejistas, compreender o funcionamento do ghost-tapping é fundamental para se antecipar a riscos financeiros e reputacionais.

O que é o Ghost-Tapping?

O ghost-tapping (ou “toque fantasma”) é uma fraude que consiste em carregar informações de cartões de crédito ou débito roubados em celulares descartáveis. Esses dispositivos passam a funcionar como carteiras digitais clonadas, permitindo compras em lojas físicas.

O processo passo a passo

  1. Roubo das credenciais: criminosos obtêm dados por meio de phishing, engenharia social e malware móvel.

  2. Interceptação da OTP: a senha de uso único enviada à vítima é capturada pelos hackers.

  3. Carregamento em celulares: os dados são transferidos para dispositivos preparados.

  4. Venda no Telegram: celulares “infectados” são comercializados em grupos clandestinos.

  5. Atuação das mulas: indivíduos contratados realizam compras de produtos de luxo, que são revendidos nos mesmos canais.

O resultado é um ciclo de fraude e lavagem de dinheiro que combina o ambiente digital com transações físicas de alto valor.

Canais Criminosos e a Infraestrutura do Golpe

  1. O ghost-tapping é sustentado por uma rede robusta de serviços criminosos. Plataformas como Huione Guarantee, Xinbi Guarantee e Tudou Guarantee oferecem desde softwares especializados até dispositivos prontos para o uso fraudulento.
    Mesmo após o anúncio de fechamento do Huione Guarantee, grupos continuam utilizando a marca e suas alternativas para comercializar os serviços.

    Além disso, o Telegram tornou-se um verdadeiro marketplace paralelo, onde celulares preparados e produtos de luxo adquiridos são revendidos, fechando a cadeia do crime.

Cingapura no centro das operações

  1. Cingapura, reconhecida como polo de compras de luxo e centro financeiro, tornou-se um dos principais alvos do ghost-tapping.

    Nos últimos três meses de 2024, a polícia local registrou 656 casos de credenciais roubadas, usadas em carteiras digitais fraudulentas, gerando prejuízo de US$ 1,2 milhão.
    Prisões recentes de cidadãos chineses e taiwaneses evidenciam que mulas estrangeiras são atraídas ao país exclusivamente para executar a fase física da fraude.

Impactos para empresas e setores estratégicos

  • Bancos e instituições financeiras: enfrentam risco crescente de fraudes digitais e precisam adotar autenticação multifator mais robusta, além de monitoramento em tempo real.

  • Varejo de luxo: lojas tornam-se elo vulnerável, usadas como ponto de conversão de dinheiro ilícito em bens tangíveis.

  • Empresas em geral: além da exposição a perdas financeiras, há o risco reputacional e a necessidade de fortalecer práticas de compliance.

O que dizem organismos internacionais

  • O Escritório das Nações Unidas sobre Drogas e Crime (UNODC) vem alertando para o crescimento acelerado de operações de golpes digitais no Sudeste Asiático. Segundo o órgão, esses crimes são sustentados por um ecossistema complexo que fornece tecnologia, logística e serviços de lavagem de dinheiro.

    O ghost-tapping, portanto, não é um fenômeno isolado, mas parte de uma engrenagem criminosa mais ampla que conecta diferentes países e setores econômicos.

Conclusão e Recomendações

  • O ghost-tapping evidencia a capacidade de adaptação das organizações criminosas, que exploram vulnerabilidades digitais e físicas de forma integrada. Para empresas, bancos e varejistas, o desafio vai além da prevenção técnica: exige cooperação internacional, reforço em compliance, capacitação de equipes e conscientização de consumidores.

    Antecipar-se a essas ameaças não é apenas uma questão de segurança, mas também de estratégia empresarial e proteção da reputação corporativa.