Falso QR Code, oferta de emprego no exterior: conheça golpes que podem hackear seu WhatsApp

Diferentes modalidades permitem que criminosos entrem na conta do aplicativo, peguem informações pessoais e peçam dinheiro aos contatos mais próximos

Os golpes online estão entre os crimes mais comuns, e 2025 não poderia ser exceção, por isso não custa nada conhecer os cinco golpes mais comuns com os quais o WhatsApp pode ser hackeado. O mecanismo de entrada com que os criminosos acessam a conta do aplicativo de mensagens pessoais muda dependendo da modalidade, mas o objetivo é o mesmo: se passar pela pessoa, roubar suas informações e pedir que seus contatos lhe enviem dinheiro.

Dessa forma, os golpes no WhatsApp não afetam apenas a vítima, mas também o seu ambiente mais próximo. Embora se fale em hacking, a verdade é que a maioria dos roubos de contas do WhatsApp ou de contas bancárias são feitos por meio do que se chama de “engenharia social”. Ou, dito de outra forma: histórias falsas para induzir a pessoa a fornecer suas informações pessoais.

 

Golpe 1: o falso QR Code
Uma das ações mais comuns que as pessoas realizam com seus celulares é a leitura de QR Codes. Por trás desses mecanismos pode estar um cardápio de restaurante, uma conta a pagar e inúmeras outras operações. E, já há algum tempo, também uma farsa.

O Laboratório de Segurança Informática da ESET, empresa de segurança cibernética, descobriu esse novo golpe digital chamado WhatsApp Spoofing, por meio do qual os criminosos assumem o controle parcial da conta para poder enviar mensagens no lugar da vítima, mas sem remover o acesso, pois isso alertaria sobre sua presença não autorizada.

Para terem sucesso, os golpistas precisam apenas que a potencial vítima tenha um momento de distração ou confiança e escaneie um QR apócrifo, o que lhes garante esse acesso compartilhado à conta: “Estes tipos de ataques podem passar despercebidos pela vítima, uma vez que poderão continuar logando e abrindo seu WhatsApp Web ou no desktop”, detalha Fabiana Ramírez Cuenca, pesquisadora da ESET América Latina.

“A solicitação de varredura de código é realizada com técnicas de engenharia social para convencer a vítima a realizar a varredura”, afirma Ramírez Cuenca, ao mesmo tempo em que garante a principal vulnerabilidade das vítimas. “A falta de atenção ou treinamento dos usuários em segurança informática faz com que os invasores recorrer a este tipo de tática devido à sua eficácia."

Golpe 2: suporte falso do WhatsApp
Quem tem WhatsApp está acostumado a receber mensagens oficiais da rede social, que conta novidades no aplicativo. Muitos criminosos aproveitam essa situação para se passarem pelo suporte do WhatsApp e extrair de suas vítimas informações que lhes permitam acessar sua conta pessoal.

Na mensagem, os golpistas se apresentam como “Suporte Técnico do WhatsApp” se passando pela empresa de mensagens. O nome do número, por não constar nos contatos, também aparece como “Suporte WhatsApp”. Em qualquer caso, deve-se levar em consideração que a conta oficial do WhatsApp não permite respostas, o que é uma boa forma de distinguir as duas fontes.

Seguindo o golpe, o suposto suporte menciona que a conta para a qual você está escrevendo está sendo aberta em outro dispositivo e pede a confirmação de que se trata da mesma pessoa. Para confirmar esta mensagem pedem que responda apenas “sim” ou “não”, e desta forma parecem legítimos.

Além disso, colocam um link para a empresa para ganhar a confiança das pessoas e assim fazer parecer que realmente fazem parte do aplicativo. Porém, eles só fazem isso para posteriormente solicitar à pessoa os dados da sua conta e poder acessá-la.

Golpe 3: a “mensagem institucional”
Nunca é demais lembrar o golpe mais comum do WhatsApp, em que criminosos se passam por uma instituição conhecida – um banco, o Governo, etc. Nesse sentido, é importante lembrar que não é comum uma instituição importante entrar em contato com seus clientes via WhatsApp. Muitas vezes os criminosos alegam uma emergência, como a alocação de dinheiro ou uma tentativa de golpe, o que também gera ansiedade em suas vítimas que as faz baixar a guarda.

“Olá, caro usuário, meu nome é Anás do atendimento ao cliente do grupo Banco Santander. Tentamos contatá-lo por telefone sem sucesso. Informamos com urgência que hoje lhe foi concedido um empréstimo errôneo no valor de (X valor) em sua conta terminando em (X números)”, é uma das mensagens utilizadas pelos criminosos para esse golpe virtual.

Nesse caso, os especialistas costumam aconselhar não se deixar levar pela mensagem alarmante, respirar e ver as coisas em perspectiva. Assim, você pode avaliar seriamente a plausibilidade da mensagem, verificar seu conteúdo nos canais oficiais da suposta empresa ou contatá-la através de seus telefones oficiais.

Golpe 4: a voz do outro lado
Dada a proliferação de casos como o descrito acima, foi acrescentada outra modalidade: o vishing, onde o engano é feito através de uma ligação. Embora possam parecer detalhes, a forma como o golpe é apresentado faz a diferença quanto à sua credibilidade, pois conversar com um ser humano pode fazer com que a pessoa confie de uma forma que não confiaria por meio de mensagens.

Além disso, uma conversa telefônica confere maior gravidade às palavras do golpista, que desta forma pode criar mais facilmente um clima de ameaça e ansiedade. Assim como em outros golpes, o objetivo dos criminosos é extrair informações que permitam o acesso à conta ou fazer com que a pessoa escaneie um código para o mesmo fim.

Agora se soma a isso uma reviravolta da qual muito se fala e que pode se tornar mais popular em um futuro próximo: vishing alimentado por inteligência artificial. Aproveitando que existem ferramentas de IA que conseguem clonar uma voz a partir de algumas frases, e possuem a flexibilidade dos chatbots modernos, o golpe é "industrializado". Agora um chatbot pode ser programado para insistir, fazer piadas para amenizar a conversa, inserir referência a alguns dados compartilhados caso os tenha obtido e outros recursos que permitam a quem o programa acessar as contas de WhatsApp da vítima.

Golpe 5: a “oferta de emprego do exterior”
Entre a enorme quantidade de mensagens que podem cair na suspeita de fraude, há algumas que oferecem vantagem: aquelas que trazem uma proposta de emprego com um número cujo prefixo é do exterior. Os primeiros números do contato podem ajudar a especificar a sua origem: +62 aparece em números da Indonésia, +91 Índia, +234 Nigéria, +263 Zimbabué e +212 Marrocos.

Estas são algumas das origens mais comuns de golpes, que também podem revelar a rede global com a qual se escondem alguns dos que cometem este tipo de crimes. A oferta de emprego pode chegar sem preâmbulos e, em muitos casos, o que se pede ao destinatário é comentar publicações em sites reconhecidos como o Mercado Livre ou escrever críticas positivas no Google Maps em troca de dinheiro.

Para efetuar pagamentos, os golpistas pedem às vítimas determinadas informações pessoais e, em muitos casos, enviam um link para “uma conta bancária” onde o dinheiro será depositado. Conforme explicado por diversos usuários que compartilharam sua raiva e frustração nas redes sociais, os golpistas estabelecem um vínculo de maior confiança ao pagar os primeiros empregos por transferência bancária.

Porém, uma vez atingido determinado valor, o sistema muda e inicia-se uma “segunda instância” que envolve a compra de produtos em sites de comércio eletrônico. Nessa parte do processo começa o golpe específico: os criminosos enviam um link para uma suposta instituição financeira que centraliza as movimentações de dinheiro. Lá, a vítima deve transferir dinheiro para adquirir os produtos e aguardar suas comissões, que nunca chegam.

Chaves para evitar cair em golpes no WhatsApp
Para evitar ser vítima deste tipo de crime, o mais importante é estar atento às mensagens que chegam. Da mesma forma que não devemos clicar em links desconhecidos que chegam pelo WhatsApp, e-mails ou mensagens de texto, também não precisamos escanear QR Codes do WhatsApp que terceiros nos enviam sem antes confirmar sua origem.

Outro ponto fundamental é revisar regularmente quais sessões temos ativas: no WhatsApp, você pode revisar e fechar sessões ativas em outros dispositivos a partir das configurações do aplicativo móvel, clicando no menu que leva às configurações e entrando em Dispositivos vinculados. Caso seja identificada alguma atividade suspeita, é aconselhável encerrar imediatamente essa sessão.

Para a maioria dos roubos de contas do WhatsApp, um dos segredos é ativar a verificação em duas etapas. Esse recurso adiciona uma camada extra de segurança, exigindo um código PIN secreto de seis dígitos sempre que você tentar registrar seu número de telefone em um novo dispositivo. Dessa forma, mesmo que alguém receba seu código de verificação por SMS, não conseguirá acessar sua conta sem saber seu PIN pessoal. Isso é ativado em Configurações > Conta > Verificação em duas etapas.