WhatsApp clonado ou hackeado: como recuperar e proteger antes

Se o seu WhatsApp foi clonado, a primeira coisa a fazer é pedir um novo código de verificação por SMS no próprio app: abre o WhatsApp, digita o seu número, espera o código de seis dígitos chegar por mensagem de texto, coloca no app, e o golpista é desconectado na mesma hora. Logo depois, ative a verificação em duas etapas com um PIN de seis dígitos que só você sabe, sem isso, ele pode tentar de novo. Avise os contatos por outro canal que você foi clonado e que ninguém mande PIX. Por fim, registre Boletim de Ocorrência: a clonagem de WhatsApp é crime de invasão de dispositivo informático, previsto no Código Penal, art. 154-A, incluído pela Lei 12.737/2012 (Lei Carolina Dieckmann). Cada minuto que o golpista fica logado é mais um contato seu que pode ser enganado.

Como o WhatsApp é clonado, quase sempre é engenharia social

A maioria das clonagens não envolve hacker sofisticado nem invasão de sistema. O caminho é mais simples: o golpista engana você ou alguém da família pra entregar o código de seis dígitos que o WhatsApp manda por SMS quando alguém tenta ativar a sua conta em outro celular.

A versão mais comum funciona assim: você recebe ligação ou mensagem de alguém se passando por banco, operadora, loja, Previdência, Mercado Livre ou OLX. A pessoa pede pra você “confirmar identidade” lendo em voz alta o código que acabou de chegar no seu celular. Esse código é justamente o que o WhatsApp acabou de mandar, porque, no mesmo segundo, o golpista digitou o seu número no celular dele e disparou o pedido de verificação. Quando você dita o código, ele entra na sua conta e você é expulso.

Outra variação envolve clonagem de chip (“SIM swap”): o criminoso liga pra operadora se passando por você e pede portabilidade ou segunda via do chip. Em minutos, ele recebe os SMS e códigos que iriam pro seu celular e ativa o WhatsApp no aparelho dele. É mais raro e mais grave, sinal de que ele tem seus dados pessoais completos.

Levantamento da Federação Brasileira de Bancos (Febraban) mostra que tentativas de golpes financeiros no Brasil cresceram cerca de 70% entre 2022 e 2023, com o falso parente e o falso atendente como formatos mais usados, e a clonagem de WhatsApp é a porta de entrada de boa parte deles. O Disque 100 registrou mais de 78 mil denúncias de violência contra pessoa idosa em 2023, e violência financeira é a categoria que mais cresce ano a ano.

Recuperar o WhatsApp em três passos, quando o golpista já entrou

Se a conta foi tomada, o caminho oficial está no centro de ajuda do WhatsApp e funciona em poucos minutos. O ponto-chave é entender que só pode haver uma sessão ativa por número: quando você pede um novo código de verificação por SMS e digita ele no seu celular, o golpista é desconectado automaticamente.

1. Abra o WhatsApp no seu celular e digite o seu número. O app envia um código de seis dígitos por SMS pro número da linha. Pegue o código na caixa de mensagens do celular (não no WhatsApp, é SMS comum) e digite no app. Pronto: o golpista perde a sessão imediatamente.

2. Se o golpista tiver ativado a verificação em duas etapas com PIN dele, o app vai pedir um PIN de seis dígitos antes de aceitar o código. Você não tem esse PIN, porque foi o golpista que colocou. Nesse caso, peça pra “redefinir o PIN por e-mail”, se você tinha cadastrado e-mail de recuperação quando ativou a verificação em duas etapas (antes do golpe), o link de redefinição chega ali. Se você nunca cadastrou e-mail, o WhatsApp obriga a esperar sete dias antes de liberar o acesso. É o caso mais difícil, mas o caminho existe.

3. Mude as senhas associadas. Se o golpista entrou no WhatsApp, ele pode ter visto códigos de banco, conversas e fotos pessoais. Troque a senha do e-mail principal, do internet banking e de qualquer app financeiro. Ative a verificação em duas etapas em todos.

A regra é simples: quanto mais rápido você pedir o código por SMS, menos tempo o golpista tem pra pedir dinheiro pros seus contatos. O dano da clonagem não é a invasão em si, é o que ele faz dentro da sua conta nos minutos seguintes.

Avisar contatos e família, antes do PIX cair

Assim que o golpista entra, ele varre seus contatos e manda mensagem pros mais íntimos pedindo PIX urgente. O texto típico é: “oi, fui no banco e meu app travou, manda R$ 1.500 nessa conta aqui que depois eu te explico”. A urgência é proposital, não deixa tempo pra conferir.

Por isso, paralelamente a recuperar a conta, avise pelo menos os três ou quatro contatos mais próximos por outro canal: liga no telefone, manda SMS comum, manda mensagem no Instagram, pede pra alguém da família avisar todo mundo. Diga só uma frase: “meu WhatsApp foi clonado. Se chegar mensagem minha pedindo dinheiro nas próximas horas, não é eu. Confirma comigo por ligação.”

Quem cair antes de você recuperar a conta tem direito a tentar devolver o dinheiro pelo Mecanismo Especial de Devolução do PIX (o mecanismo de devolução), previsto na Resolução BCB nº 103, de 28 de julho de 2021. O banco do parente contesta o PIX no app, marca “suspeita de fraude” e o valor pode ser bloqueado na conta do golpista por até 30 dias enquanto a investigação corre, quanto antes, melhor.

Boletim de Ocorrência e o crime de invasão

A clonagem de WhatsApp tem nome no Código Penal. O art. 154-A, incluído pela Lei 12.737/2012 (Lei Carolina Dieckmann), define o crime de invasão de dispositivo informático:

“Invadir dispositivo informático de uso alheio, conectado ou não à rede de computadores, com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do usuário do dispositivo ou de instalar vulnerabilidades para obter vantagem ilícita.”

A pena é de detenção de um a quatro anos e multa, e aumenta de um terço a dois terços quando há prejuízo financeiro. Se houve PIX feito pelos seus contatos enganados, soma-se o estelionato eletrônico do Código Penal art. 171, §2º-A, com pena agravada pela Lei 14.155/2021, feita pra combater fraude eletrônica contra público vulnerável.

Pra registrar o BO, dois caminhos: delegacia eletrônica da Polícia Civil do seu estado (a maioria tem; rápido e sem fila) ou presencial em qualquer delegacia. Você precisa do número do seu celular, dos prints das conversas que o golpista mandou se passando por você e do horário em que descobriu a clonagem. O BO dá força ao pedido de devolução de PIX no banco e abre investigação criminal. Se o golpe envolveu vazamento de dados (CPF, RG, dados bancários), também vale registrar denúncia na Autoridade Nacional de Proteção de Dados (ANPD), o órgão da LGPD que apura responsabilidade de empresas em incidentes com dados pessoais.

Três proteções que protegem o WhatsApp pra sempre

A reza brava do WhatsApp são três configurações simples. Cinco minutos hoje evitam o pesadelo amanhã.

1. Verificação em duas etapas (PIN de seis dígitos). Configurações > Conta > Confirmação em duas etapas. Crie um PIN de seis dígitos que só você sabe. A partir daí, mesmo que o golpista consiga o código de SMS, ele não entra sem o PIN. Cadastre um e-mail de recuperação na mesma tela, assim, se esquecer o PIN, recupera por e-mail em vez de esperar sete dias. É a única proteção real contra SIM swap e contra entrega acidental de código.

2. Nunca compartilhar código de seis dígitos com ninguém. Não com banco, operadora, loja, filho, sobrinho ou “Previdência”. Nenhuma empresa ou órgão público tem motivo legítimo pra pedir o seu código de verificação. Se alguém pede, é golpe, sem exceção. Decora a regra: código que chegou no seu celular fica no seu celular.

3. Privacidade na foto de perfil. Em Configurações > Privacidade > Foto do perfil, mude de “Todos” pra “Meus contatos”. Isso impede que estranhos com o seu número (de listas vazadas) peguem sua foto pra criar perfil falso se passando por você em outro número.

Pra o conjunto completo de leis e canais oficiais que protegem quem tem 60+ contra fraude, banco e loja, vale conferir o guia de defesa do aposentado contra bancos, lojas e golpistas. E porque o WhatsApp clonado quase sempre vira tentativa de PIX falso pros seus contatos, o passo a passo de como reconhecer e o que fazer está no guia do golpe da falsa solicitação de PIX. Se também houve uso do seu CPF em fraude (empréstimo, cartão, conta), o caminho de bloqueio nos birôs e na ANPD está no guia de como proteger o seu CPF.

O que fica

WhatsApp clonado não é falha técnica nem azar. É um golpe que depende de a pessoa entregar, sem perceber, o código de seis dígitos que chega por SMS. O golpista não invadiu o seu celular, ele convenceu você ou alguém da família a ler um número em voz alta. Por isso a defesa não está em comprar aparelho novo nem em desconfiar de tecnologia: está em decorar uma regra simples e nunca abrir exceção. Código que chega no seu celular fica no seu celular. Não tem banco, operadora, loja, Previdência nem parente que tenha motivo legítimo pra pedir esse número.

Quando o golpe acontece, o relógio começa a correr, porque cada minuto que o golpista fica logado é mais um contato seu que pode mandar PIX achando que está te ajudando. Recuperar a conta leva poucos minutos, e o caminho oficial está no próprio app. Avisar os contatos por outro canal é tão urgente quanto, porque é ali que o prejuízo costuma morar de verdade.

O próximo passo concreto, antes mesmo de qualquer pesadelo acontecer, é ativar agora a verificação em duas etapas: Configurações > Conta > Confirmação em duas etapas. Cria um PIN de seis dígitos, anota num lugar seguro, e cadastra um e-mail de recuperação na mesma tela. Cinco minutos hoje resolvem o problema antes dele existir. Se o estrago já aconteceu, registre Boletim de Ocorrência pela delegacia eletrônica do seu estado e peça aos parentes que caíram pra abrirem contestação pelo mecanismo de devolução do PIX no banco, quanto mais cedo, maior a chance de o dinheiro voltar.