WhatsApp clonado ou hackeado: o que fazer agora para recuperar e proteger sua conta
Resposta rápida
Se alguém tomou o controle do seu WhatsApp, registre o número novamente no aplicativo com o código SMS — isso expulsa o invasor na hora. Em seguida, ative a verificação em duas etapas para criar um PIN de 6 dígitos e impedir que isso se repita. Avise seus contatos que mensagens pedindo Pix ou dinheiro enviadas da sua conta não partiram de você.
A Decripte é uma empresa de cibersegurança que atende empresas de 1 a mais de 100.000 colaboradores. Se você cuida da segurança do seu negócio, comece pelo plano gratuito de Gestão de Ameaças.
Sinais de alerta
- ›Contatos dizem ter recebido mensagens suas pedindo dinheiro, Pix ou dados bancários que você não enviou.
- ›Você perdeu o acesso ao próprio WhatsApp — o aplicativo mostra que o número está registrado em outro dispositivo.
- ›Aparecem mensagens lidas ou conversas iniciadas que você não reconhece.
- ›O WhatsApp Web está conectado em um computador ou local que você não reconhece (visível em Configurações → Dispositivos conectados).
- ›Você recebeu um código SMS de verificação do WhatsApp sem ter solicitado — sinal de que alguém está tentando registrar seu número.
Passo a passo — o que fazer
- 1
Abra o WhatsApp e registre seu número novamente
Instale ou abra o WhatsApp no seu próprio celular, informe seu número de telefone e solicite o código de verificação por SMS. Ao inserir o código de 6 dígitos recebido, sua conta é automaticamente desconectada de todos os outros dispositivos onde estava ativa — o invasor perde o acesso na hora, sem necessidade de entrar em contato com o WhatsApp.
- 2
Ative a verificação em duas etapas (PIN)
Dentro do WhatsApp, acesse Configurações → Conta → Verificação em duas etapas → Ativar. Crie um PIN de 6 dígitos que só você conhece e adicione um e-mail de recuperação. A partir desse momento, qualquer tentativa futura de registrar seu número exigirá esse PIN, bloqueando o golpe do código SMS.
- 3
Encerre todas as sessões do WhatsApp Web
Vá em Configurações → Dispositivos conectados e encerre todos os dispositivos listados. O WhatsApp Web não é clonagem de conta, mas permite que alguém leia suas mensagens em tempo real se tiver acessado seu celular sem autorização. Desconectar tudo elimina esse acesso.
- 4
Avise seus contatos por outro canal
Ligue ou mande mensagem por e-mail, SMS ou outro aplicativo para as pessoas que podem ter recebido mensagens suspeitas da sua conta. Diga claramente que seu WhatsApp foi comprometido e que qualquer pedido de Pix, transferência ou dados bancários não veio de você. Peça que não paguem e que excluam as mensagens.
- 5
Registre boletim de ocorrência
Acesse a delegacia virtual do seu estado ou compareça a uma delegacia presencialmente. Golpes de WhatsApp clonado com pedido de dinheiro configuram estelionato (artigo 171 do Código Penal Brasileiro). O registro é importante para eventuais ações judiciais e para estatísticas de combate a fraudes.
- 6
Notifique o banco se houve transação
Se algum contato seu foi enganado e fez uma transferência Pix para o golpista, oriente-o a ligar imediatamente para o banco e acionar o Mecanismo Especial de Devolução (MED) do Banco Central, disponível em até 80 dias após a transação suspeita. Quanto mais rápido o contato, maior a chance de bloqueio e devolução dos valores.
- 7
Reforce a segurança da conta de e-mail vinculada
O e-mail que você cadastrou no WhatsApp pode ser usado para redefinir o PIN da verificação em duas etapas. Certifique-se de que essa conta de e-mail também tem autenticação em dois fatores ativa e que a senha é exclusiva (não reutilizada em outros serviços).
- 8
Consulte fontes oficiais se tiver dúvida
A central de ajuda oficial do WhatsApp (faq.whatsapp.com) tem guias atualizados sobre recuperação de conta e segurança. O CERT.br (cert.br), órgão que coordena a resposta a incidentes de segurança no Brasil, publica cartilhas gratuitas sobre golpes digitais. Desconfie de tutoriais em sites sem respaldo oficial.
O que NÃO fazer
- ✕Não compartilhe o código de 6 dígitos recebido por SMS com ninguém, nem com quem diz ser do suporte do WhatsApp, operadora ou banco. O WhatsApp nunca pede esse código por telefone ou mensagem.
- ✕Não instale aplicativos de terceiros prometendo 'espionar' ou 'recuperar' WhatsApp — a maioria é malware que rouba dados e pode comprometer outros aplicativos do celular.
- ✕Não espere para agir: cada minuto de acesso do invasor aumenta o número de contatos abordados e o potencial de prejuízo financeiro para eles.
- ✕Não acredite que o problema foi resolvido apenas porque você trocou a senha do e-mail ou do Google/Apple ID. A etapa essencial é o re-registro do número dentro do WhatsApp com o código SMS.
- ✕Não ignore o aviso se receber um código SMS não solicitado. Denuncie imediatamente à operadora e tome as medidas preventivas antes de o invasor concluir o processo.
A diferença entre clonagem e espelhamento: dois golpes, uma mesma urgência
O termo 'WhatsApp clonado' é usado popularmente para dois ataques distintos. O mais comum é o golpe do código SMS: o fraudador liga para a vítima se passando por funcionário de banco, operadora ou até de um serviço como o Mercado Livre, diz que vai enviar um código 'de confirmação' e solicita que a vítima repasse esse número. Esse código é, na verdade, o token de verificação do WhatsApp — ao recebê-lo, o golpista registra a conta no próprio celular e assume o controle completo.
O segundo ataque é o espelhamento via WhatsApp Web. Nesse caso, alguém com acesso físico ao seu celular por alguns segundos escaneia o QR Code do WhatsApp Web e passa a ler todas as suas mensagens em tempo real em um computador. A conta não muda de dono, mas há uma janela de espionagem ativa. Para esse cenário, encerrar todos os dispositivos conectados (Configurações → Dispositivos conectados) resolve imediatamente o problema.
Entender qual dos dois ocorreu ajuda a priorizar as ações: se você perdeu o acesso ao próprio aplicativo, é clonagem via SMS e o re-registro é urgente. Se você ainda usa o WhatsApp normalmente mas suspeita de espionagem, revise os dispositivos conectados.
Como o golpe do Pix se encaixa nesse ataque
Após assumir o controle da conta, o golpista tem acesso ao histórico de conversas e à lista de contatos. Com esse material, ele consegue imitar o tom e o vocabulário da vítima com precisão assustadora. As mensagens enviadas costumam explorar urgência: 'Estou em apuros, preciso de um Pix de R$500 agora, te devolvo amanhã'. Por conhecer detalhes da vida da vítima lidos nas conversas, o pedido parece legítimo.
Segundo o Banco Central do Brasil, o Pix pode ter o valor devolvido pelo Mecanismo Especial de Devolução (MED) se a transação for contestada como fraude em até 80 dias. Porém, o processo não garante o retorno do dinheiro — depende de o destinatário ainda ter saldo na conta. Por isso, a velocidade de aviso aos contatos é determinante: quanto mais rápido eles souberem do golpe, menor a chance de efetuar qualquer pagamento.
Proteja também a sua empresa
Veja de graça o que já vazou do seu negócio.
O plano gratuito de Gestão de Ameaças da Decripte mapeia vulnerabilidades, monitora ameaças e mostra credenciais vazadas — sem cartão e sem equipe técnica.
Comece grátis agoraVerificação em duas etapas: o que é e por que muda tudo
A verificação em duas etapas do WhatsApp adiciona uma segunda barreira ao processo de registro do número: além do código SMS, quem tentar registrar a conta em um novo dispositivo precisará informar um PIN de 6 dígitos definido pelo usuário. Sem esse PIN, o processo de registro falha — mesmo que o golpista tenha conseguido o código SMS.
Para ativar: abra o WhatsApp → Configurações → Conta → Verificação em duas etapas → Ativar. Escolha um PIN que não seja data de nascimento ou sequência óbvia, e cadastre um e-mail de recuperação diferente do que você usa no trabalho ou em redes sociais, pois esse e-mail também precisa estar protegido com autenticação de dois fatores.
O CERT.br recomenda o uso de autenticação em dois fatores em todos os serviços que a suportam como medida básica de higiene digital. No contexto do WhatsApp, isso é especialmente relevante porque o número de telefone em si não é um segredo — qualquer pessoa que saiba o seu número pode tentar iniciar o registro.
Como avisar seus contatos de forma eficaz
Avisar contatos não é apenas uma cortesia — é um ato que pode evitar prejuízos financeiros reais para pessoas próximas. Use um canal diferente do WhatsApp para esse aviso: uma ligação telefônica, um e-mail ou uma mensagem por SMS têm mais credibilidade nesse momento porque vêm de um canal que o invasor não controla.
A mensagem deve ser curta e direta: informe que seu WhatsApp foi comprometido, que qualquer mensagem recebida da sua conta pedindo dinheiro ou dados não partiu de você, e que a situação já está sendo resolvida. Se você souber que algum contato específico recebeu um pedido de Pix, entre em contato com essa pessoa com prioridade e oriente-a a registrar a fraude no banco imediatamente.
Após recuperar o acesso, você pode enviar uma mensagem nos seus grupos mais importantes informando o ocorrido. Isso ajuda a esclarecer dúvidas de quem não foi diretamente abordado pelo golpista mas viu a situação em algum grupo compartilhado.
Para empresas: o WhatsApp clonado de um colaborador é um risco corporativo
Quando um colaborador tem o WhatsApp comprometido, o impacto ultrapassa a vida pessoal. Conversas de trabalho, negociações com clientes, dados de fornecedores e informações confidenciais da empresa ficam expostos ao invasor. Em empresas onde o WhatsApp é canal principal de comunicação com clientes — o que inclui a maioria das PMEs brasileiras — um único número comprometido pode gerar pedidos fraudulentos de Pix em nome da empresa, cancelamento de contratos e danos à reputação.
A Decripte atua exclusivamente com empresas — de 1 a mais de 100.000 colaboradores — que precisam estruturar a gestão de ameaças cibernéticas com rigor e continuidade. O plano gratuito de Gestão de Ameaças da Decripte permite monitorar exposições de dados da sua empresa, identificar riscos como credenciais vazadas de colaboradores e receber diagnósticos de segurança sem custo inicial. Para empresas que precisam de cobertura completa — incluindo resposta a incidentes, inteligência de ameaças e gestão contínua de riscos — os planos pagos da Decripte escalam conforme o porte e a criticidade do negócio. Acesse decripte.com.br para conhecer as opções.
Termos importantes
- Clonagem de WhatsApp
- Termo popular para descrever a tomada indevida de uma conta WhatsApp por meio do golpe do código SMS: o fraudador convence a vítima a compartilhar o código de verificação de 6 dígitos recebido por SMS e usa esse código para registrar a conta no próprio dispositivo, assumindo o controle completo e expulsando o dono legítimo.
- Verificação em duas etapas (PIN do WhatsApp)
- Recurso de segurança do WhatsApp que exige um PIN de 6 dígitos definido pelo usuário, além do código SMS, para registrar o número em qualquer dispositivo. Quando ativado, impede que o golpista conclua a clonagem mesmo que tenha obtido o código SMS. Ativado em Configurações → Conta → Verificação em duas etapas.
- MED — Mecanismo Especial de Devolução
- Mecanismo criado pelo Banco Central do Brasil que permite às instituições financeiras bloquear e tentar reverter transações Pix identificadas como fraude ou erro. Pode ser acionado pelo banco em até 80 dias após a transação suspeita. Não garante a devolução — depende de o destinatário ter saldo disponível —, mas é o principal recurso disponível para vítimas de fraudes via Pix.
- Engenharia social
- Conjunto de técnicas de manipulação psicológica usadas por fraudadores para induzir pessoas a fornecer informações confidenciais ou realizar ações prejudiciais a si mesmas. No contexto do WhatsApp clonado, a engenharia social é o núcleo do golpe: o fraudador cria um pretexto convincente (problema na conta, prêmio, verificação de segurança) para justificar o pedido do código SMS.
Perguntas frequentes
Posso recuperar minha conta WhatsApp sem acesso ao número de telefone original?
O processo padrão de recuperação exige acesso ao número de telefone cadastrado para receber o código SMS. Se você não tem mais acesso ao número (por exemplo, chip cancelado ou número portado), é necessário contatar a operadora para recuperar o acesso ao número antes de retomar a conta. O suporte do WhatsApp (disponível em faq.whatsapp.com) pode oferecer caminhos alternativos em situações específicas, mas o acesso ao número é o requisito principal.
O WhatsApp tem suporte por telefone ou chat que pode ajudar na recuperação?
Não. O WhatsApp não oferece suporte por telefone, chat ao vivo ou atendimento presencial. O canal oficial é o e-mail [email protected] e o centro de ajuda em faq.whatsapp.com. Desconfie de qualquer pessoa que afirme ser do 'suporte do WhatsApp' e entre em contato por mensagem ou ligação — isso é, com alta probabilidade, outro golpe.
Se ativei a verificação em duas etapas, o golpe do código SMS ainda funciona?
Não da mesma forma. Com o PIN ativado, mesmo que o invasor obtenha o código SMS de 6 dígitos, ele ainda precisará do PIN de verificação em duas etapas para concluir o registro. Sem o PIN, o processo falha. Isso torna o ataque significativamente mais difícil, embora não elimine completamente outros vetores de ataque, como engenharia social para obter o próprio PIN.
Como saber se meu WhatsApp está sendo monitorado pelo WhatsApp Web sem meu conhecimento?
Acesse Configurações → Dispositivos conectados. Todos os computadores ou tablets com acesso ativo à sua conta aparecem nessa lista com data e localização aproximada. Se você vir um dispositivo que não reconhece, toque sobre ele e selecione 'Sair'. Repita o processo regularmente como hábito de segurança, especialmente se outras pessoas tiveram acesso físico ao seu celular.
Um contato meu caiu no golpe e fez um Pix para o golpista. O que ele deve fazer?
Ele deve ligar imediatamente para o banco onde tem conta e informar que realizou uma transferência para uma conta fraudulenta. O banco pode acionar o Mecanismo Especial de Devolução (MED) do Banco Central, que permite bloquear e tentar devolver o valor em até 80 dias após a transação. Também é importante registrar um boletim de ocorrência, pois o banco pode exigir esse documento para formalizar a contestação.
É crime compartilhar o código SMS do WhatsApp com um golpista mesmo sem saber que era golpe?
Não. A vítima que compartilha o código sem saber que está sendo enganada não comete crime — ela é a parte lesada. O crime é praticado pelo golpista, que pode responder por estelionato (artigo 171 do Código Penal), com pena de 1 a 5 anos de reclusão, e por invasão de dispositivo informático (artigo 154-A), com pena de 1 a 4 anos. Registrar o boletim de ocorrência é importante para que as autoridades possam investigar.
Preciso trocar meu número de telefone para ficar protegido depois de ter a conta clonada?
Não é necessário trocar o número. Recuperar o acesso via re-registro com código SMS, ativar a verificação em duas etapas com PIN exclusivo e manter o e-mail de recuperação protegido são medidas suficientes para retomar a segurança da conta. Trocar o número pode, inclusive, gerar mais transtornos do que benefícios, pois todos os seus contatos precisariam ser notificados do novo número.
Segurança para empresas
A Decripte protege empresas de todos os tamanhos — do MEI ao Enterprise.
Plataforma e serviços completos: gestão de ameaças, SOC 24x7, resposta a incidentes, pentest e conformidade. Comece de graça e veja o que já vazou do seu negócio.