Muito provavelmente, alguém do seu círculo de contatos já recebeu uma mensagem pedindo Pix em nome de um amigo ou familiar — ou foi a própria vítima. O golpe do WhatsApp clonado atingiu 153 mil brasileiros em 2024, segundo a Febraban (Federação Brasileira de Bancos), e liderou o ranking de fraudes bancárias do ano, à frente da falsa venda (150 mil casos) e da falsa central bancária (105 mil).

Uma pesquisa do Instituto DataSenado estimou que 24% dos brasileiros com mais de 16 anos (cerca de 40,85 milhões de pessoas) perderam dinheiro com algum tipo de golpe digital nos 12 meses anteriores. O prejuízo geral com fraudes financeiras no país alcançou R$ 10,1 bilhões em 2024, alta de 17% sobre o ano anterior, de acordo com a Febraban.

O que é o golpe do WhatsApp clonado?

A clonagem de WhatsApp abrange mais de um método, mas todos compartilham o objetivo de assumir o controle da conta da vítima para pedir dinheiro a familiares e amigos por Pix.

À EXAME, Alex Vieira, fundador da Piersec, empresa de cibersegurança, aponta a principal estratégia dos criminosos. "Os ataques raramente envolvem a quebra da criptografia do aplicativo. O foco é o elo humano". Ele explica que todos os métodos de clonagem incluem essa abordagem próxima.

Como funciona cada método de clonagem

Segundo Vieira, os principais métodos de clonagem do WhatsApp incluem:

• Engenharia social: o criminoso cria um pretexto convincente (suporte técnico, agendamento de consulta, confirmação de anúncio) para fazer a vítima entregar o código de verificação de seis dígitos enviado por SMS. Com esse código, ele registra a conta em outro aparelho.
• Roubo de OTP (código de uso único): o atacante tenta ativar o número da vítima em um novo dispositivo e intercepta o código SMS. A interceptação vem quase sempre por conversa direta, em que o golpista se passa por atendente de uma empresa conhecida da vítima.
• SIM swap (troca de chip): fraude que ocorre junto às operadoras de telefonia. O criminoso consegue transferir o número da vítima para um chip sob seu controle, o que permite receber códigos de recuperação de qualquer aplicativo vinculado ao número.
• Malware e sessões web: aplicativos maliciosos capturam notificações do celular ou links de phishing roubam a chave de acesso do WhatsApp Web. Nesse caso, o invasor espelha a conta sem desconectar o aparelho original.

Por que os golpes ficaram mais difíceis de identificar?

Segundo Vieira, o que mudou nos últimos anos não foi o tipo de golpe, mas o grau de profissionalização por trás dele. "Saímos do amadorismo para a industrialização do crime digital", diz.

Os criminosos passaram a operar como verdadeiras empresas, com equipes especializadas, acesso a bases de dados e uso de tecnologia para escalar as fraudes.

Para Vieira, uma das mudanças mais visíveis é a personalização das abordagens. Com informações obtidas em vazamentos de dados, golpistas conseguem trazer informações pessoais e até compras reais da vítima na mensagem de contato. A conversa parece real, e o alvo baixa a guarda.

A inteligência artificial (IA) também virou uma arma na mão dos golpistas. Se antes eles eram identificados por erros de gramática e pontuação, agora contam com um agente para corrigir suas mensagens. Isso sem contar os recursos de deepfake, que criam áudios e vídeos falsos de conhecidos pedindo dinheiro.

O tempo entre a invasão da conta e a retirada do dinheiro também encolheu. Segundo Vieira, o intervalo entre clonar o WhatsApp e limpar a conta da vítima via Pix caiu para minutos, o que dificulta tanto a reação de quem foi atingido quanto o bloqueio por parte do banco.

Qual é a principal vulnerabilidade explorada pelos golpistas?

Nenhum dos métodos descritos acima exige que o criminoso quebre alguma camada de proteção do aplicativo. A porta de entrada é o comportamento da vítima — e os golpistas sabem como manipulá-lo.

"A vítima é colocada sob pressão psicológica ('seu anúncio será excluído', 'seu cartão foi bloqueado'). Nesse estado, o usuário negligencia protocolos básicos de segurança", explica Vieira. "A maior vulnerabilidade não é o software. É o comportamento sob pressão — o que chamamos de risco humano."

Entre os erros mais comuns que abrem caminho para a invasão, o especialista lista:

• compartilhar códigos recebidos por SMS;
• não ativar a verificação em duas etapas (ou usar um PIN previsível como data de nascimento);
• reutilizar senhas de e-mail em outras plataformas;
• expor o número de telefone em anúncios públicos ou biografias de redes sociais.

Como saber se alguém está tentando clonar sua conta no WhatsApp?

O sinal mais claro é receber um código de verificação do WhatsApp sem ter solicitado. "Se você recebeu um código sem ter tentado logar em nenhum lugar, alguém está tentando acessar sua conta", alerta Vieira.

Outro indicativo é o contato de um suposto suporte oficial que usa conta comum, sem o selo de verificação do WhatsApp Business, ou que exige pressa excessiva para resolver um problema simples.

WhatsApp clonado: sinais de alerta

Mas como saber se a conta já foi comprometida? Vieira lista os seguintes sinais:

• o aplicativo desconecta e solicita nova configuração;
• aparece o aviso "Seu número foi registrado em outro dispositivo";
• contatos começam a perguntar sobre mensagens estranhas ou pedidos de dinheiro;
• surgem sessões desconhecidas no menu "Aparelhos Conectados".

A verificação em duas etapas é suficiente?

A verificação em duas etapas (PIN de seis dígitos no WhatsApp) é a camada de proteção mais acessível, mas não garante imunidade total.

Ela falha, por exemplo, quando a vítima é convencida a entregar também o PIN por engenharia social, quando há um malware no dispositivo que captura o que é digitado ou quando o usuário escolhe senhas fracas que podem ser descobertas por tentativa (ataque de força bruta).

Como se proteger do golpe do WhatsApp clonado

O especialista da Piersec lista cinco medidas prioritárias:

1. Nunca compartilhar códigos: o WhatsApp e empresas legítimas não pedem o código de seis dígitos por mensagem ou ligação;
2. Ativar a verificação em duas etapas: funciona como uma segunda barreira mesmo que o código SMS seja interceptado;
3. Restringir a foto de perfil: configurar para que apenas contatos salvos vejam a imagem, o que dificulta o golpe do "número novo";
4. Desconfiar de urgência: se o pedido envolve dinheiro ou pressa, mudar de canal — ligar para a pessoa por fora do WhatsApp antes de transferir qualquer valor;
5. Solicitar bloqueio de portabilidade à operadora: pedir uma camada extra de autenticação para impedir o SIM swap.

O que fazer se a conta do WhatsApp for clonada?

Se a invasão já aconteceu, Vieira recomenda uma sequência imediata de ações:

1. Tentar fazer login no aplicativo para derrubar a sessão do invasor;
2. Avisar contatos por redes sociais ou ligação de que a conta foi invadida e que ninguém deve fazer transferências;
3. Enviar e-mail para support@whatsapp.com com o assunto "Perdido/Roubado: Por favor, desative minha conta";
4. Registrar boletim de ocorrência eletrônico;
5. Se houver prejuízo financeiro, acionar o banco e solicitar a abertura de um MED (Mecanismo Especial de Devolução) para tentar reaver valores enviados via Pix.

O MED é um protocolo do Banco Central que permite ao banco do pagador solicitar a devolução de valores em caso de fraude. Quanto mais rápido o pedido, maior a chance de recuperação.