- Em 2024, o golpe do WhatsApp clonado atingiu 153 mil brasileiros e liderou o ranking de fraudes bancárias; o país registrou R$ 10,1 bilhões em prejuízos com fraudes no ano.
- Os criminosos usam engenharia social, roubo de código de verificação, SIM swap e malware para assumir contas e pedir dinheiro via Pix, com foco no elo humano.
- A criminalidade ficou mais profissional, com IA e deepfakes ajudando a personalizar abordagens; o tempo entre clonagem e retirada de dinheiro caiu para minutos.
- A principal vulnerabilidade é o comportamento da vítima sob pressão, como compartilhar códigos, não ativar a verificação em duas etapas e expor o número em redes.
- Para se proteger: não compartilhar códigos, ativar a verificação em duas etapas, restringir a visibilidade da foto de perfil, evitar urgência para transferir dinheiro e exigir bloqueio de portabilidade; se clonada, derrubar a sessão, avisar contatos, contatar suporte, registrar boletim e, se houver prejuízo, solicitar o MED.
O golpe do WhatsApp clonado segue como uma das fraudes digitais mais impactantes no Brasil. Em 2024, atingiu 153 mil brasileiros, liderando o ranking de fraudes bancárias, segundo a Febraban. A cada ataque, o objetivo é obter dinheiro por Pix, disfarçado de amigo ou familiar.
Dados do DataSenado apontam que 24% dos brasileiros com mais de 16 anos tiveram algum golpe digital no último ano, agravando o prejuízo total para 10,1 bilhões de reais em 2024. O roubo envolve engenharia social, SIM swap e até IA.
A principal linha de atuação envolve manipular o usuário, não quebrar a criptografia. De acordo com Alex Vieira, da Piersec, o elo humano é o principal ponto de vulnerabilidade explorado pelos criminosos.
Como funciona cada método de clonagem
Engenharia social usa pretextos como suporte técnico para obter o código de verificação por SMS. OTP interceptado por conversa direta com golpista disfarçado de atendente. SIM swap transfere o número para um chip sob controle do criminoso. Malware captura notificações ou acessos do WhatsApp Web.
A indústria do crime digital se profissionalizou, com equipes, dados vazados e uso de IA para melhorar mensagens. Deepfake também entra no roteiro para criar áudios e vídeos falsos de conhecidos. O tempo entre clonagem e retirada tende a diminuir.
Qual é a principal vulnerabilidade explorada
A vulnerabilidade não está no aplicativo, mas no comportamento sob pressão. O golpista usa táticas de urgência para levar a vítima a ignorar protocolos de segurança.
Erros comuns incluem compartilhar códigos por SMS, não ativar a verificação em duas etapas, reutilizar senhas ou expor o número em bios públicas. Esses passos facilitam a invasão.
Sinais de que alguém pode estar clonando sua conta
Receber um código de verificação sem solicitar é alerta claro. Contatos estranhos que pedem dinheiro ou suporte sem selo oficial também indicam risco. Outros indicativos são a desconexão do app, mensagens de que o número foi registrado em outro dispositivo e sessões desconhecidas.
A verificação em duas etapas oferece proteção adicional, mas não é infalível. Phishing, malware ou senhas fracas ainda podem comprometer a conta.
Como se proteger do golpe
1. Nunca compartilhar códigos de verificação com ninguém, mesmo que pareça oficial.
2. Ativar a verificação em duas etapas para dificultar o uso indevido.
3. Limitar a visibilidade da foto de perfil apenas para contatos.
4. Desconfiar de pedidos urgentes envolvendo dinheiro; confirme por canal externo.
5. Solicitar bloqueio de portabilidade à operadora para dificultar o SIM swap.
O que fazer se a conta for clonada
Tente derrubar a sessão do invasor fazendo login novamente. Informe contatos que a conta foi invadida e que ninguém deve transferir dinheiro. Envie um e-mail para support com a notificação de perda. Registre boletim eletrônico e, se houver prejuízo, acione o banco para abertura do MED para devolução de valores via Pix.
Entre na conversa da comunidade