O WhatsApp se tornou uma ferramenta essencial para milhões de brasileiros, mas sua popularidade também atrai criminosos que buscam roubar contas para aplicar golpes. Um dos métodos mais usados atualmente envolve o e-mail de recuperação, que pode burlar até mesmo a verificação em duas etapas, uma proteção amplamente recomendada. Em 2021, um leitor relatou ter sido alvo desse tipo de ataque, mas conseguiu impedir o acesso dos golpistas ao perceber a tempo o que estava acontecendo. Casos assim continuam frequentes, e a falta de cuidado com o código de recuperação recebido por SMS pode custar caro.
Esse tipo de golpe geralmente começa com uma abordagem convincente, como uma ligação ou mensagem de alguém se passando por funcionário de um site de vendas ou oferecendo promoções. O objetivo é enganar a vítima para que ela forneça o código de seis dígitos enviado pelo WhatsApp, permitindo que o criminoso inicie o processo de autorização da conta em outro aparelho. Mesmo com a verificação em duas etapas ativa, os golpistas podem tentar desativá-la por meio do e-mail de recuperação, um detalhe que muitos usuários desconhecem e que aumenta a gravidade do problema.
Recentemente, reportagens apontaram um crescimento nos casos de roubo de contas no Brasil, especialmente em plataformas de mensagens. Dados da Polícia Civil mostram que os relatos de crimes cibernéticos, incluindo golpes no WhatsApp, subiram 15% em 2024 em comparação com o ano anterior. A seguir, veja como esse golpe funciona, por que a verificação em duas etapas nem sempre é suficiente e o que você pode fazer para se proteger.
Como os golpistas burlam a segurança do WhatsApp
O processo de roubo de uma conta no WhatsApp segue um roteiro bem definido, que explora tanto a confiança da vítima quanto falhas de atenção. Tudo começa quando o criminoso obtém o número de telefone da pessoa, muitas vezes encontrado em anúncios online, como em sites de compra e venda. Depois, ele entra em contato, usando pretextos variados: pode ser uma ligação fingindo ser de uma central de atendimento ou uma mensagem oferecendo descontos imperdíveis. Em algum momento, o golpista pede o código de seis dígitos que chega por SMS, alegando ser parte de um procedimento legítimo.
Se a vítima entrega esse código, o criminoso tenta autorizar o WhatsApp em outro aparelho. Sem a verificação em duas etapas, o acesso é imediato, e o invasor começa a usar a conta para pedir dinheiro aos contatos da vítima, especialmente em grupos. Com a proteção ativada, porém, o golpe ganha uma etapa extra: o criminoso precisa do PIN de seis dígitos ou tenta desativar a verificação por meio do e-mail de recuperação. Um link é enviado para o endereço cadastrado, e basta um clique descuidado para que a segurança seja comprometida.
A tática do e-mail de recuperação é particularmente perigosa porque transfere o controle para o golpista sem que a vítima perceba de imediato. Em 2023, uma campanha educativa da Febraban alertou que mais de 60% das tentativas de golpe no WhatsApp envolviam engenharia social, ou seja, manipulação psicológica para enganar as pessoas. Proteger-se exige atenção redobrada e medidas simples, mas eficazes, que vão além de apenas ativar a verificação em duas etapas.
O papel do e-mail de recuperação no golpe
O e-mail de recuperação é uma funcionalidade do WhatsApp criada para ajudar usuários que esquecem o PIN da verificação em duas etapas. Ao configurar essa proteção, o aplicativo sugere adicionar um endereço de e-mail, que pode ser usado para redefinir o código em caso de perda. O problema surge quando os golpistas exploram essa opção. Após obter o código de SMS, eles selecionam “esqueci o meu PIN” no processo de autorização, o que dispara o envio de um e-mail com um link de desativação para a vítima.
Clicar nesse link e confirmar a ação desativa a verificação em duas etapas, liberando o acesso ao criminoso sem a necessidade do PIN. No caso relatado em 2021, o leitor recebeu esse e-mail, mas desconfiou a tempo e não seguiu o link, o que impediu o sucesso do golpe. Reportagens recentes indicam que muitos usuários ainda caem nessa etapa, seja por desconhecimento ou por pressão do golpista, que pode insistir para que a vítima “confirme” algo no e-mail. Proteger o acesso ao seu e-mail e nunca clicar em links suspeitos são passos cruciais para evitar o problema.
Passo a passo para se proteger do golpe
Evitar o roubo da sua conta no WhatsApp exige cuidados que vão desde a configuração do aplicativo até a forma como você reage a contatos inesperados. Abaixo, cinco medidas práticas para aumentar sua segurança:
- Nunca compartilhe o código de SMS: O número de seis dígitos recebido por mensagem é a chave para autorizar sua conta em outro aparelho. Não o envie a ninguém, mesmo que a pessoa pareça confiável.
- Ative a verificação em duas etapas: No WhatsApp, vá em “Configurações”, selecione “Conta” e depois “Verificação em duas etapas”. Crie um PIN de seis dígitos e adicione um e-mail seguro.
- Proteja seu e-mail de recuperação: Use uma senha forte e única para o e-mail cadastrado no WhatsApp, além de ativar autenticação em duas etapas na sua conta de e-mail.
- Desconfie de links em e-mails: Se receber um e-mail pedindo para desativar a verificação, ignore e entre em contato com o suporte do WhatsApp diretamente pelo aplicativo.
- Reaja rápido se for alvo: Caso perca o acesso, tente reautorizar sua conta com o código de SMS imediatamente para derrubar o invasor.
Essas ações simples podem fazer a diferença entre manter sua conta segura ou vê-la nas mãos de criminosos.
O que fazer se você for vítima
Receber uma ligação ou mensagem suspeita já é um sinal de alerta, mas o golpe só avança se você fornecer o código de SMS. Caso isso aconteça, o tempo é seu aliado. Se a verificação em duas etapas não estiver ativa, o criminoso assume o controle da conta rapidamente e pode começar a enviar mensagens aos seus contatos. Nesse cenário, abra o WhatsApp no seu celular e toque em “Confirmar” no aviso que aparece na tela. Isso inicia o processo de reautorização e desconecta o invasor, embora você precise esperar sete dias para recuperar o acesso total se o golpista tiver configurado um PIN.
Quando a proteção está ativada, como no caso do leitor de 2021, o criminoso não consegue acessar a conta sem o PIN ou o e-mail de recuperação. Ainda assim, ele pode derrubar seu acesso temporariamente. Tente reautorizar o aplicativo com o código de SMS e o PIN correto. Se o golpe evoluir e você suspeitar que informações foram roubadas, registrar um boletim de ocorrência online na Polícia Civil é uma opção para documentar o caso. Em 2024, delegacias virtuais em estados como São Paulo e Rio de Janeiro registraram um aumento de 20% nessas denúncias.
Cronologia de um golpe típico no WhatsApp
Entender o passo a passo do ataque ajuda a identificar os riscos em cada etapa. Veja como os golpistas agem:
- Dia 1: O criminoso encontra seu número em um anúncio ou lista online e entra em contato com uma história convincente.
- Minutos depois: Você recebe um SMS com o código de seis dígitos, enquanto o golpista pede que você o envie.
- Horas após o código: Se fornecido, ele tenta autorizar sua conta; com verificação em duas etapas, solicita o PIN ou o e-mail de recuperação.
- Dia 2 a 7: Sem o PIN ou clique no e-mail, o golpe para; com acesso, o invasor explora grupos e contatos por até uma semana.
Essa sequência mostra como a rapidez na resposta pode interromper o plano dos criminosos.
Por que a verificação em duas etapas não é infalível
A verificação em duas etapas é uma camada extra de segurança que exige um PIN além do código de SMS para autorizar o WhatsApp em um novo aparelho. Apesar de ser eficaz contra ataques simples, ela não impede totalmente os golpistas, especialmente se o e-mail de recuperação for mal protegido. Um estudo da Kaspersky em 2023 revelou que 25% dos usuários de aplicativos de mensagens no Brasil não configuram senhas fortes em suas contas de e-mail, facilitando o acesso de criminosos a links de redefinição.
Outro ponto vulnerável é a engenharia social. Os golpistas são habilidosos em criar urgência ou medo, levando a vítima a agir sem pensar. No caso relatado, a ligação fingindo ser de uma central de atendimento quase enganou o leitor, que só escapou por desconfiar do e-mail. Reforçar a segurança do e-mail e manter a calma diante de pedidos suspeitos são atitudes que complementam a proteção do WhatsApp.
Dicas para manter seu WhatsApp seguro
Além das medidas básicas, pequenos hábitos podem blindar sua conta contra ataques. Configurar a verificação em duas etapas com um PIN único – evitando datas de nascimento ou sequências simples como “123456” – é um bom começo. Proteger o e-mail de recuperação com autenticação em duas etapas e uma senha complexa também é essencial, já que ele é o último obstáculo para os golpistas.
Fique atento a contatos inesperados, mesmo que pareçam vir de conhecidos. Criminosos muitas vezes usam contas roubadas para pedir códigos ou dinheiro, explorando a confiança entre amigos e familiares. Em 2024, o Procon-SP notificou o WhatsApp sobre o aumento de reclamações relacionadas a golpes, pressionando a plataforma a melhorar seus alertas de segurança. Enquanto isso, a responsabilidade de se proteger recai sobre os usuários.
