A clonagem de WhatsApp tornou-se uma das fraudes digitais mais frequentes no Brasil. Segundo a Federação Brasileira de Bancos, 153 mil pessoas foram vítimas desse golpe apenas em 2024, consolidando-o entre os três golpes mais reportados às instituições financeiras do país.
Em 2025, a Polícia Civil registrou um aumento de 15% em denúncias de clonagem, refletindo a escala crescente do problema. As perdas financeiras são substanciais: R$ 10,1 bilhões foram roubados em 2024, representando um salto de 17% comparado a 2023.
A sofisticação dos ataques evolui constantemente. Criminosos utilizam inteligência artificial para automatizar abordagens e gerar mensagens convincentes que enganam até usuários mais cautelosos. Entre janeiro e setembro de 2025, registraram-se 1,6 milhão de fraudes via WhatsApp no Brasil, e nos primeiros seis meses daquele ano, a Meta banniu 6,8 milhões de contas fraudulentas.
Estatísticas indicam que a cada hora, 4,6 mil brasileiros são alvo de tentativas de golpes financeiros através de mensagens ou ligações telefônicas, com 53% das vítimas na faixa etária acima dos 50 anos.
Como Ocorre a Clonagem
O processo de clonagem segue uma mecânica relativamente simples, explorada de forma sistemática pelos criminosos.
O golpista começa obtendo o número de telefone da vítima através de vazamentos de dados, participação em grupos públicos online ou anúncios em plataformas de venda. Com o número em mãos, instala o WhatsApp em um novo aparelho e inicia o processo de registro.
Ao tentar ativar a conta, o WhatsApp envia automaticamente um código de verificação de seis dígitos via SMS para o número real do proprietário. Este é o ponto crítico da operação: o golpista então contata a vítima, frequentemente se passando por funcionário de empresa confiável ou do próprio suporte do WhatsApp, solicitando que compartilhe este código.
Muitas vítimas, enganadas pela aparência legítima da abordagem, fornecem o código acreditando estar confirmando uma ação necessária ou resolvendo um problema.
Assim que o criminoso digita o código no dispositivo dedicado à clonagem, consegue acesso completo à conta. O proprietário original é desconectado automaticamente, e o invasor passa a controlar perfil, histórico de conversas, lista de contatos e todas as informações associadas.
A partir deste ponto, o golpista utiliza a conta comprometida para solicitar dinheiro a amigos e familiares, frequentemente alegando emergências ou situações urgentes.
Outras técnicas sofisticadas incluem roubo de QR codes do WhatsApp Web, instalação de aplicativos maliciosos disfarçados de versões "Pro" ou "Gold" do WhatsApp, e ataques de SIM swap, onde o criminoso consegue controlar o chip telefônico da vítima para interceptar códigos de verificação.
O uso crescente de deepfakes, que simulam vozes e rostos reais, também representa uma ameaça emergente.
Sinais de Alerta
Reconhecer os sinais iniciais de clonagem é fundamental para reagir rapidamente. O alerta mais direto é o recebimento de códigos de verificação via SMS sem ter solicitado qualquer ação.
Esses códigos de seis dígitos indicam que alguém tentou registrar a conta em outro dispositivo. Ignorar completamente tais mensagens é o primeiro passo para a prevenção.
Notificações do próprio WhatsApp alertando sobre registro em novo aparelho constituem outro sinal claro.
O aplicativo notifica quando detecta tentativas de login em dispositivos desconhecidos. Se tais avisos forem recebidos sem ação prévia do proprietário, investigação imediata é necessária.
Comportamentos estranhos na conta também indicam possível invasão.
Mensagens marcadas como lidas sem que o proprietário as tenha aberto, alterações no perfil não realizadas, conversas com números desconhecidos e mensagens enviadas que não foram compostas pelo proprietário constituem evidência de compromisso.
Atividade do aplicativo fora do padrão merece atenção. Desconexão repentina, solicitação inesperada de novo login, e consumo anormalmente alto de bateria causado por sincronizações em segundo plano podem indicar presença de invasor.
Contatos da vítima relatando recebimento de mensagens suspeitas pedindo dinheiro ou informações sensíveis confirmam a clonagem em andamento.youtube
Proteção do Código de Segurança: A Regra Fundamental
A proteção mais simples e mais efetiva contra clonagem é também a mais ignorada: nunca compartilhar o código de verificação com ninguém, em hipótese alguma.
O WhatsApp nunca solicita este código por telefone, mensagem ou qualquer outro canal. Funcionários de suporte legítimo jamais pedirão este código. Esta é a regra de ouro que impede a maioria dos ataques antes mesmo de começarem.
Importante distinguir entre dois conceitos diferentes de segurança frequentemente confundidos. O código de verificação é um token de seis dígitos enviado por SMS quando alguém tenta registrar a conta em novo dispositivo.
Este código é temporário e específico para aquela tentativa de ativação. Ele é completamente diferente do código de segurança da conversa, que é a representação visível da chave de criptografia entre dois contatos, composto por QR code ou 60 dígitos.youtube
Ativação da Verificação em Duas Etapas
A medida preventiva mais eficaz disponível no WhatsApp é a verificação em duas etapas, conhecida também como confirmação em duas etapas. Este recurso funciona adicionando uma camada extra de segurança além do código de SMS tradicional.
Para ativar, o usuário deve acessar: Configurações > Conta > Verificação em duas etapas > Ativar. O sistema solicita a criação de um PIN de seis dígitos escolhido pelo próprio usuário.
Este PIN é essencial porque, mesmo que um criminoso obtenha o código SMS, não conseguirá registrar a conta sem conhecer este PIN adicional criado pela vítima.youtube
O PIN deve ser escolhido com cuidado, evitando números óbvios como datas de nascimento, sequências simples ou números de fácil dedução. Recomenda-se alterar o PIN periodicamente e em local seguro.
O WhatsApp solicitará periodicamente a reintrodução do PIN como medida de confirmação de que o usuário ainda tem controle da conta.youtube
Vincular um endereço de email é fortemente recomendado durante o processo de configuração. Se o proprietário da conta esquecer o PIN, o email registrado permite solicitar um link para redefinição.
Sem o email, o WhatsApp exige esperar sete dias antes de permitir redefinição do PIN, período durante o qual um criminoso poderia continuar tentando acessar a conta.
É fundamental compreender que este PIN é diferente do código de SMS. O código SMS é enviado automaticamente pelo WhatsApp e não pode ser escolhido.
O PIN é criação do usuário, armazenado apenas no dispositivo e conhecido apenas por quem tem acesso físico ao aparelho (exceto se o email foi registrado).
Monitoramento de Dispositivos Conectados
O WhatsApp permite visualizar todos os dispositivos atualmente conectados à conta. Esta funcionalidade, encontrada em Configurações > Dispositivos Conectados, oferece visibilidade crucial sobre quem está acessando a conta.
A lista inclui WhatsApp Web ativo em navegadores, tablets, computadores e outros aparelhos.
Em 2025, a Meta atualizou este recurso adicionando notificações automáticas quando novos dispositivos se conectam. Esta funcionalidade, disponível nas versões mais recentes do aplicativo, permite que o proprietário seja alertado imediatamente sobre novas atividades.
Verificar regularmente esta seção deve ser hábito consistente, assim como desconectar imediatamente qualquer dispositivo não reconhecido.
Se um dispositivo desconhecido aparecer nesta lista, deve-se clicar na opção correspondente e selecionar "Desconectar".
Esta ação encerra o acesso daquele dispositivo à conta instantaneamente. Para aumentar a segurança, recomenda-se revisar esta lista semanalmente ou quando houver suspeita de invasão.
Backup Criptografado de Ponta a Ponta
O backup criptografado constitui proteção essencial para o caso em que, apesar de todas as precauções, a clonagem ocorra.
Este recurso protege a cópia de segurança das conversas armazenada na nuvem (Google Drive para Android, iCloud para iPhone) com uma camada adicional de criptografia.
Sem o backup criptografado, se um criminoso obter acesso ao email onde o backup está armazenado, poderia restaurar todo o histórico de conversas, fotos e vídeos da conta comprometida, mesmo que tenha perdido acesso ao WhatsApp original.
O backup criptografado impede isto, tornando o arquivo inacessível sem a chave correta.
Para ativar, acessa-se: Configurações > Chats > Backup de Chats > Backup criptografado de ponta a ponta > Ativar.
O usuário escolhe entre três opções de proteção: criar uma senha pessoal, usar uma chave criptográfica gerada automaticamente de 64 dígitos, ou utilizar a chave de acesso (passkey) baseada em biometria.
A opção de senha é mais conveniente para recuperações futuras, enquanto a chave de 64 dígitos oferece maior aleatoriedade. A passkey utiliza impressão digital ou reconhecimento facial, sendo a mais segura mas exigindo que o proprietário lembre dos dados biométricos.
Qualquer que seja a escolha, é imperativo guardar a credencial em local absolutamente seguro, pois o WhatsApp não pode recuperar a senha caso seja esquecida – o backup se torna permanentemente inacessível.
Bloqueio Biométrico do Aplicativo
O bloqueio do WhatsApp com biometria adiciona camada de segurança física ao aplicativo. Este recurso exige autenticação com impressão digital (Android) ou Face ID (iPhone) para abrir o app, mesmo se o telefone está desbloqueado.
A ativação ocorre em: Configurações > Privacidade > Bloqueio do app.
O usuário define o intervalo de tempo para exigência de autenticação: imediatamente ao abrir o app, após 1 minuto de inatividade, ou após 30 minutos. A escolha depende do balanço desejado entre segurança e conveniência.
Este bloqueio apresenta vantagem significativa: mesmo que alguém roubar ou encontrar o celular desbloqueado, não conseguirá acessar o WhatsApp sem autenticação biométrica.
Além disso, o recurso não interfere na recepção de chamadas, que podem ser atendidas normalmente pela tela de bloqueio.
Atualizações e Malware
Manter o WhatsApp sempre atualizado é medida não-negociável de proteção. As atualizações corrigem vulnerabilidades exploradas por criminosos e melhoram constantemente os sistemas de segurança.
Aplicativos desatualizados constituem portas abertas para ataques, especialmente frente à sofisticação crescente de malware.youtube
Igualmente importante é baixar o WhatsApp exclusivamente das lojas oficiais: Google Play Store (Android) ou Apple App Store (iOS). Versões modificadas como "WhatsApp Gold", "WhatsApp Pro", "GB WhatsApp" ou "YoWhatsApp" são frequentemente disfarces para malware.
Um desses aplicativos, o YoWhatsApp, foi documentado baixando secretamente o trojan Tríada, capaz de instalar trojans adicionais, inscrever usuários em serviços pagos não autorizados, ativar microfones para espionagem e sequestrar arquivos.youtube
A instalação de software antivírus confiável no celular oferece camada adicional de proteção. Executar varreduras regulares do dispositivo ajuda a detectar presença de spyware ou aplicativos maliciosos que possam estar comprometendo a segurança.
Redes Wi-Fi Públicas e Cibersegurança
Redes Wi-Fi públicas representam ambiente hostil para qualquer transação sensível. Criminosos utilizam essas redes para interceptar códigos de verificação e credenciais através de técnicas conhecidas como man-in-the-middle attacks.
Usar redes Wi-Fi públicas para registrar a conta, recuperar a senha, ou ativar a verificação em duas etapas é comportamento alto-risco.
Quando necessário utilizar internet pública, o uso de VPN (Virtual Private Network) confiável encripta o tráfego de dados, tornando muito mais difícil interceptação.
No entanto, evitar completamente a ativação de credenciais sensíveis em redes públicas permanece a abordagem mais segura.
Educação Digital e Engenharia Social
Os criminosos exploram principalmente a engenharia social – a manipulação psicológica de pessoas para divulgar informações confidenciais – em vez de sofisticação técnica pura.
Contactam a vítima se passando por funcionários de bancos, plataformas de vendas, operadoras telefônicas ou do próprio suporte do WhatsApp. Criam senso de urgência falsa, alegando que a conta será bloqueada, que há débito não autorizado, ou que é necessária confirmação imediata.
A defesa primária é simples: desconfiança e verificação. Se alguém alega ser suporte oficial, termina-se a conversa e contata-se diretamente o serviço através de canal oficial conhecido.
Nunca se compartilha códigos, senhas ou informações sensíveis por mensagem, mesmo se o contato parecer legítimo. Dúvida é sempre justificada – funcionários legítimos compreenderão a cautela.
O Que Fazer se Clonagem Já Ocorreu
Se sinais de clonagem forem detectados, ação rápida é essencial para minimizar danos.
Primeiro, deve-se reinstalar o WhatsApp no dispositivo original e completar o processo de verificação com o código SMS enviado para o número real. Esta ação desconecta o invasor da conta automaticamente.
Imediatamente após recuperar acesso, ativa-se a verificação em duas etapas se já não estiver ativa, criando PIN robusto e registrando email de recuperação.
Muda-se a senha de qualquer email vinculado à conta, pois o criminoso pode ter explorado acesso ao email para alterar configurações.youtube
Todos os contatos da vítima devem ser informados sobre o incidente. Orienta-se que ignorem mensagens suspeitas recebidas durante o período de clonagem, pois o invasor provavelmente tentou solicitar dinheiro ou coletar dados pessoais.
A transparência com a rede de contatos mitiga potencial dano a terceiros.
Ativa-se backup criptografado com senha robusta se ainda não estava ativo, protegendo qualquer cópia de segurança futura contra acesso não autorizado.
Executa-se varredura completa do dispositivo com software antivírus confiável para descartar presença de malware que possibilitou a invasão.
Finalmente, faz-se denúncia ao WhatsApp através do formulário de suporte oficial e à polícia civil local, registrando boletim de ocorrência.
Estes registros documentam o crime e contribuem para dados estatísticos que orientam ações de prevenção futuras.
Consolidação de Segurança
Proteção robusta do WhatsApp não exige conhecimento técnico avançado nem mudanças drásticas de comportamento.
Demanda apenas disciplina em aplicar camadas de proteção disponibilizadas: verificação em duas etapas com PIN robusto, monitoramento regular de dispositivos conectados, bloqueio biométrico do app, backup criptografado, atualizações frequentes e, acima de tudo, recusa categórica em compartilhar códigos de verificação ou qualquer informação sensível.
Estas medidas transformam contas de WhatsApp de alvo fácil para presas extremamente difíceis. O custo em tempo e esforço é mínimo – geralmente menos de trinta minutos para configurar completamente – enquanto o benefício em proteção de privacidade, dados pessoais e segurança financeira é substancial.
Num contexto onde 4,6 mil brasileiros sofrem tentativas de golpes por hora, investir tempo em segurança pessoal representa decisão racional e necessária para qualquer usuário do aplicativo.
