Sequestro de contas do WhatsApp e Telegram: como se proteger contra golpes

Analisamos todos os métodos de sequestro de contas do WhatsApp, do Telegram e de outros serviços de mensagens, de quishing a presentes falsos e vírus, bem como maneiras de se proteger contra eles.

Proteção de contas do WhatsApp e do Telegram contra hackers e sequestros em 2025

Os criminosos virtuais ao redor do mundo continuam aprimorando seus esquemas para roubar contas no WhatsApp, no Telegram e em outros aplicativos de mensagens populares, e qualquer um de nós pode cair em seus golpes. Somente se tornando vítima de um ataque como esse você pode compreender completamente a importância de uma ferramenta de mensagens instantâneas e a diversidade dos danos causados ​​por hackear uma conta do WhatsApp ou do Telegram. Mas é melhor não deixar que isso aconteça e aprender a reconhecer os principais golpes de sequestro para preveni-los a tempo.

Por que sequestrar sua conta do WhatsApp ou do Telegram?

Uma conta roubada pode ser atraente devido ao seu conteúdo, aos direitos de acesso ou simplesmente pelo fato de ser verificada, vinculada a um número de telefone e ter uma boa reputação. Depois de roubar sua conta do Telegram ou do WhatsApp, os criminosos virtuais podem usá-la de várias maneiras:

  • Para enviar mensagens de spam e phishing em seu nome para todos os seus contatos, incluindo canais privados e comunidades.
  • Escrever histórias tristes para todos os seus amigos para pedir dinheiro. Pior ainda: usar a IA para falsificar uma mensagem de voz ou vídeo pedindo ajuda.
  • Para roubar as contas de seus amigos e familiares pedindo que votem em um concurso, “presenteando-os” com uma assinatura do Telegram Premium falsa ou empregando algum outro esquema fraudulento, dos quais existem muitos. Vindo de alguém que o destinatário conhece, mensagens como essa tendem a passar mais confiança.
  • Para sequestrar um canal do Telegram ou uma comunidade do WhatsApp que você gerencia.
  • Para chantagear você com o conteúdo dos seus bate-papos, especialmente se houver sexting ou outras mensagens comprometedoras.
  • Para ler seus bate-papos discretamente, o que pode ter valor estratégico se você for um empresário, político, militar ou oficial de segurança ou funcionário público.
  • Para enviar uma nova foto para sua conta, alterar seu nome e usar sua conta para golpes direcionados: desde flertar com investidores de criptomoedas (abate de porcos) até solicitações do chefe da vítima (golpes de chefe).

Devido a essa variedade de usos, os criminosos precisam de novas contas o tempo todo, e qualquer pessoa pode se tornar uma vítima.

Quishing de WhatsApp, Telegram e QQ

Os golpistas costumavam roubar contas enganando as pessoas para que fornecessem códigos de verificação de texto (necessários para fazer login) ou interceptando esses códigos. Mas, como esse método não é mais tão eficaz, o foco mudou para tentar vincular um dispositivo adicional à conta da vítima. Isso funciona melhor ao usar esquemas de phishing com códigos QR, conhecidos como quishing.

Os invasores colocam seus próprios anúncios ou cuidadosamente colam códigos QR maliciosos sobre os de outras pessoas para substituir o código legítimo. Eles também podem imprimir um código QR em um folheto e colocá-lo em uma caixa de correio, publicá-lo em uma rede social ou site, ou simplesmente enviá-lo por e-mail. O pretexto pode ser qualquer coisa: um convite para participar de um bate-papo na vizinhança, conectar-se a um escritório, campus ou comunidade escolar, baixar um cardápio de restaurante ou resgatar um desconto, ou ver horários de cinema ou informações extras sobre filmes e outros eventos.

O código sozinho não pode fazer com que sua conta seja sequestrada, mas pode atrair você para um site fraudulento que contém instruções detalhadas informando onde clicar no aplicativo de mensagens e o que fazer depois disso. O site mostra outro código QR gerado dinamicamente, que o servidor dos invasores solicita do WhatsApp ou do Telegram quando pede ao serviço para vincular um novo dispositivo à sua conta. E se você, determinado a aproveitar todos os benefícios que a civilização tem a oferecer, decidir que outro código não fará mal e seguir as instruções, o dispositivo usado pelos invasores obterá acesso a todos os seus dados no aplicativo. Na verdade, você pode vê-lo nas seções “Dispositivos” ou “Dispositivos vinculados” do Telegram ou do WhatsApp, respectivamente. No entanto, esse ataque foi criado para as pessoas que não estão muito familiarizadas com as configurações dos aplicativos de mensagens e que talvez não verifiquem esses submenus regularmente. Aliás, usuários do QQ, o aplicativo de mensagens mais popular da China, também são alvos de ataques semelhantes.

Pesquisas mal-intencionadas, presentes fraudulentos e meninas se despindo

Além dos códigos QR, os golpistas também podem atacar você enviando links aparentemente inofensivos, como aqueles para votos de “escolha do público”, loterias instantâneas ou brindes. No Telegram, eles gostam de imitar a interface usada para receber uma assinatura Premium como presente.

Normalmente, você chega a essas páginas por meio de mensagens de amigos ou conhecidos cujas contas já foram comprometidas pelos mesmos golpistas. A página inicial está sempre cheia de frases cativantes, como “vote em mim” e “resgate seu presente”.

Uma variação do golpe envolve mensagens de um “serviço de segurança do aplicativo de mensagens”. Alguém pode entrar em contato com você usando um nome como “Segurança” ou “Equipe de segurança do Telegram”. Eles se oferecem para proteger seus dados ao transferir sua conta para uma conta segura clicar em um link e ativar as “opções avançadas de segurança”.

Por fim, você pode receber um anúncio de um serviço ou bot que ofereça algo útil ou divertido, como um chatbot de IA ou um gerador de nudez.

Há outro cenário potencial de fraude para o Telegram: desde 2018, o serviço oferece aos proprietários de sites autenticação de visitantes usando o widget de login do Telegram. É um sistema real e funcional, mas os golpistas aproveitam o fato de que poucas pessoas sabem como essa autenticação deve funcionar, substituindo-a por uma página de phishing para roubar informações.

Em qualquer uma dessas situações, depois de passar pela atrativa página inicial, haverá uma solicitação para “entrar no seu aplicativo de mensagens”. Esse procedimento pode envolver a verificação de um código QR ou simplesmente inserir seu número de telefone e o código OTP no site. Esta parte do site normalmente é disfarçada como uma interface de autenticação padrão do WhatsApp ou do Telegram, criando a ilusão de que você foi redirecionado para o site oficial para fazer login. Na realidade, todo o processo acontece no próprio site dos invasores. Se você acatar e inserir os dados ou verificar o código, os criminosos virtuais ganharão imediatamente o controle da sua conta do aplicativo de mensagens. A única recompensa? Algum tipo de mensagem de agradecimento, como “sua assinatura Premium será ativada em 24 horas” (mas não será, e quem diria?!).

Invasão de um smartphone com um aplicativo falso do WhatsApp ou do Telegram

Uma maneira antiga, mas ainda eficaz, de sequestrar contas é usar mods com trojan, ou seja, versões modificadas dos aplicativos de mensagens. Essa ameaça é relevante principalmente para usuários do Android. Você pode encontrar anúncios promovendo versões “melhoradas” de aplicativos de mensagens populares em fóruns, em grupos de bate-papo ou simplesmente em resultados de pesquisa. Os mods do WhatsApp geralmente prometem a capacidade de ler mensagens excluídas e ver o status oculto, enquanto os fãs do Telegram recebem a promessa de recursos Premium gratuitos.

Baixar e instalar um mod como esse pode infectar seu telefone com malware, roubando a conta de mensagens, além de todos os outros dados do dispositivo. Curiosamente, os usuários do Android podem encontrar mods infectados com spyware, até mesmo no “lugar sagrado”: a loja oficial do Google Play.

O que acontece com uma conta sequestrada do Telegram ou do WhatsApp?

O destino da sua conta sequestrada depende das intenções dos invasores. Se o objetivo deles for espionagem ou chantagem, eles baixarão rapidamente todos os seus bate-papos para análise, e você pode não notar nada.

Se os criminosos virtuais quiserem enviar mensagens fraudulentas aos seus contatos, eles excluirão imediatamente as mensagens enviadas usando o recurso “excluir somente para mim” para garantir que você não perceba nada o máximo de tempo possível. No entanto, mais cedo ou mais tarde, você começará a receber mensagens de amigos surpresos, indignados ou simplesmente vigilantes, ou você mesmo notará vestígios de uma presença não autorizada.

Outra consequência da invasão pode ser a reação do serviço de mensagens ao spam. Se os destinatários denunciarem suas mensagens, sua conta poderá ser restringida ou bloqueada, impedindo que você envie mensagens por várias horas ou dias. Você pode apelar das restrições usando um botão especial, como “Solicitar uma análise” na mensagem dos moderadores. No entanto, é melhor garantir primeiro que você tenha o controle exclusivo sobre sua conta e aguardar pelo menos algumas horas depois.

O Telegram trata todos os dispositivos vinculados a uma conta igualmente, o que significa que os golpistas podem assumir o controle de toda a sua conta e expulsar você ao desconectar todos os seus dispositivos. Porém, para fazer isso, eles precisariam permanecer conectados sem serem notados por um dia inteiro: o Telegram tem um período de espera de 24 horas antes que seja possível desconectar outros dispositivos de uma conta recém-conectada. Se você foi bloqueado da sua conta do Telegram, leia nosso guia detalhado de recuperação.

No WhatsApp, o primeiro dispositivo que você usa para fazer login na sua conta se torna o principal, e os outros dispositivos são secundários. Isso significa que os invasores não conseguem fazer esse truque nesse aplicativo.

Como se proteger do sequestro de contas do WhatsApp e do Telegram

Você pode encontrar instruções detalhadas sobre como proteger seu Telegram, WhatsApp, Signal e Discord em nossos guias separados. Vamos rever os princípios gerais novamente:

  • Certifique-se de ativar a autenticação em dois fatores (também conhecida como “senha em nuvem” ou “verificação em duas etapas”) no aplicativo de mensagens e use uma senha ou frase de senha longa, complexa e exclusiva.
  • No WhatsApp, você pode escolher uma chave de acesso, em vez de uma senha. Essa proteção é mais confiável.
  • Evite participar de sorteios e loterias. Não aceite presentes que você não esperava, principalmente se precisar fazer login em sites pelo aplicativo de mensagens para recebê-los.
  • Saiba como é a autorização legítima pelo Telegram e feche imediatamente qualquer site que pareça diferente. Simplificando, durante um processo legítimo de autorização, tudo o que você precisa fazer é clicar no botão “Sim, quero ir para tal e tal site” no chat do Telegram com o bot. Não é necessário verificar ou inserir códigos.
  • Verifique as configurações do WhatsApp e do Telegram regularmente para ver quais dispositivos estão conectados. Desconecte qualquer um que pareça antigo ou suspeito.
  • Sempre use aplicativos de mensagens oficiais baixados de fontes confiáveis, como Google Play ou App Store, Galaxy Store, Huawei AppGallery e outras grandes lojas de aplicativos.
  • Tenha mais cuidado com clientes de mensagens de desktop, principalmente no escritório.
  • Use um sistema de proteção confiável em todos os seus dispositivos para evitar a visita em sites de phishing ou a instalação de malware.
Dicas
Inscreva-se para receber nossos destaques em seu e-mail