O golpe do mudei de número virou um dos ataques mais comuns contra empresas com base de clientes ativa no WhatsApp: criminosos copiam foto/identidade visual e se passam pela marca (ou por sócios) para pedir transferências a clientes e fornecedores. Além do prejuízo financeiro, o estrago pode ser reputacional e, em alguns casos, vira uma crise que consome tempo do comercial, do suporte e do financeiro.

Neste guia, você vai aprender como reduzir a chance do golpe “pegar”, como treinar sua equipe para não facilitar e o que fazer nas primeiras horas se acontecer.

Por que esse golpe derruba confiança tão rápido

Esse tipo de fraude funciona por “atalho mental”: a pessoa vê a foto conhecida, lê uma história plausível (“troquei de número”, “tive um problema com o app”, “faz o Pix aqui”) e age sem checar. Para empresas, o risco aumenta quando a operação depende do WhatsApp para vendas, cobrança, suporte e relacionamento.

Além disso, o golpe costuma atingir dois pontos sensíveis:

• clientes em momento de decisão (pagamento, contratação, renovação);
• fornecedores e parceiros (pagamentos recorrentes, adiantamentos, “urgências”).

Resultado: mesmo quando a empresa não tem culpa direta, ela precisa administrar o impacto e provar que está adotando medidas de prevenção.

Golpe do mudei de número: como funciona na prática

O golpe do mudei de número geralmente combina engenharia social + elementos públicos da sua operação (foto, nome, cargo, linguagem usada no atendimento). Um fluxo típico é:

• O criminoso copia foto de perfil e nome da empresa/sócio.
• Aborda o alvo dizendo que “mudou de número” e pede para “salvar o contato novo”.
• Em seguida, cria urgência (prazo, multa, “última vaga”, “pedido precisa liberar agora”).
• Solicita pagamento (Pix/transferência) para uma conta de terceiro.
• Pressiona para não “confirmar por ligação”, e tenta manter o alvo no chat.

Esse padrão é exatamente o que este Post alerta: o fraudador usa a foto do perfil comercial (ou de sócios) para pedir dinheiro e abalar a credibilidade.

Treinamento e protocolo interno para a equipe não “facilitar”

Boa parte dos casos começa com comprometimento de conta (ou tentativa de comprometimento) e falhas de rotina: gente repassando código, usando aparelho sem PIN/biometria, ou tratando WhatsApp como “informal”.

Um protocolo enxuto, mas efetivo, deve incluir pelo menos:

• Nunca repassar códigos de verificação (SMS/WhatsApp) por telefone, áudio ou chat.
• Ativar confirmação em 2 etapas (PIN) em todas as linhas e aparelhos da empresa.
• Treinar “frases de bloqueio”: qualquer pedido de dinheiro por número novo exige validação por canal alternativo.
• Padronizar cobrança e pagamentos: a empresa só recebe por contas/canais oficiais previamente divulgados.
• Criar um “dono do incidente” (responsável por acionar comunicação, TI e jurídico quando houver suspeita).

O objetivo não é burocratizar: é garantir que, na correria do dia a dia, ninguém vire “porta de entrada” do golpe.

Configurações essenciais no WhatsApp Business e no celular corporativo

Sugerimos ações diretas como ocultar foto para não contatos (em número pessoal) e ativar confirmação em 2 etapas (PIN). Na prática, vale tratar isso como “higiene mínima” de segurança.

Alguns pontos importantes para empresas:

• Segregação de perfis: o número pessoal do sócio não deve ser o “canal oficial” do negócio. Se usar, as configurações de privacidade precisam ser mais restritivas.
• Controle de acesso: quem pode logar no WhatsApp Business/WhatsApp Web? Revise quando alguém entra e sai do time.
• Gerenciamento de dispositivos: aparelhos corporativos devem ter bloqueio por PIN/biometria, atualização e backup controlados.
• Autenticação forte: além do PIN do WhatsApp, reforçar e-mail e contas vinculadas com autenticação de dois fatores.

Para material educativo de boas práticas, uma referência útil é a Cartilha de Segurança para Internet do CERT.br: https://cartilha.cert.br/

Se acontecer: resposta rápida para reduzir dano e gerar evidências

Se o incidente já ocorreu (ou há suspeita), agir rápido protege clientes e reduz impacto reputacional. O POST 27 recomenda comunicar imediatamente (stories/status) e fazer B.O.. Um fluxo prático nas primeiras horas:

• Comunique por todos os canais oficiais (site, e-mail, redes sociais, status) alertando sobre o número falso e orientando a não pagar.
• Centralize evidências: prints, links, números usados, horários, conversas e comprovantes.
• Faça Boletim de Ocorrência e registre os dados do golpe (conta Pix, CPF/CNPJ, banco, chaves).
• Notifique internamente (comercial, suporte, financeiro) com um script único de resposta ao cliente.
• Ajuste o atendimento: inclua verificação ativa (“qual foi seu último pedido/contrato?”) para identificar tentativas.
• Avalie medidas técnicas e jurídicas para preservação de prova e pedidos de informações a terceiros, conforme o caso.

Quando há fraude/uso indevido de identidade, também pode ser relevante entender os enquadramentos e medidas cabíveis. Como base normativa, vale consultar a Lei nº 12.737/2012 (alterações no Código Penal sobre crimes informáticos) no Planalto: https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm

Erros comuns que aumentam a chance de cair no golpe

Alguns “atalhos” do dia a dia costumam virar vulnerabilidade:

• Tratar WhatsApp como canal informal e aceitar cobrança por número novo sem validação.
• Permitir que cada vendedor “invente seu jeito” de cobrar, sem padrão de contas oficiais.
• Repassar códigos de verificação por pressa (ou por confiar em “voz conhecida”).
• Manter acessos antigos (WhatsApp Web/dispositivos) após troca de equipe.
• Não ter plano de comunicação: quando o golpe aparece, a empresa reage tarde e “cada um fala uma coisa”.

Boas práticas para manter o controle (sem travar as vendas)

O golpe do mudei de número é recorrente porque é simples e barato para o criminoso. Do lado da empresa, a melhor defesa é rotina:

• Defina canais oficiais e repita isso em propostas, contratos, assinatura de e-mail e mensagens automáticas.
• Crie um protocolo de validação para qualquer alteração de dados bancários/conta de recebimento.
• Faça reciclagem mensal rápida com o time (10 minutos) com exemplos reais e “o que fazer”.
• Trate segurança como parte do onboarding: quem entra no time assina e segue regras básicas.
• Se o WhatsApp for missão crítica, avalie governança mais robusta de acessos e dispositivos.

Conclusão e próximos passos

O golpe do mudei de número não é “azar”: é risco operacional previsível quando a empresa depende de WhatsApp e não tem protocolo. Com treinamento, autenticação forte, padronização de cobrança e resposta rápida, dá para reduzir muito a chance de cair e minimizar danos se acontecer.

A Advocacia Digital Brasil atua de forma consultiva e preventiva em Direito Digital, ajudando negócios online a criar protocolos, ajustar comunicação e responder a incidentes de fraude com mais segurança — com atendimento 100% online em todo o Brasil. Se você quer estruturar um protocolo de segurança digital para vendas/suporte e um plano de resposta a incidentes, fale com a gente: Fale com a Advocacia Digital Brasil.
WhatsApp: +55 (11) 98686-3883 | contato@advocaciadigitalbrasil.com.br

Aviso: este artigo tem caráter informativo e não substitui uma consulta jurídica.

Autor: Cláudio de Araújo Schüller.

A recuperação de conta invadida é uma corrida contra o tempo: quanto mais rápido você age, menor o prejuízo e menor a chance de seus seguidores caírem em golpes. Este artigo amplia o checklist prático do Post 06 da ADB e organiza um protocolo simples para negócios digitais (startups, e-commerce, SaaS e creators).

Se a sua operação depende de social (tráfego, suporte, vendas, lançamentos), vale tratar a conta como “ativo crítico”, com plano de resposta, prova bem feita e medidas jurídicas quando o suporte não resolve.

Por que perder o Instagram da empresa é um risco de negócio

Quando uma conta comercial é invadida, o dano vai além do “incômodo”:

• Prejuízo financeiro direto: queda de vendas, campanhas pausadas, leads perdidos.
• Risco de golpe em clientes: criminosos pedem Pix, vendem “promoções” falsas ou coletam dados.
• Dano reputacional: prints circulam, confiança diminui, suporte vira caos.
• Perda de acesso a ativos conectados: Meta Business, gerenciador de anúncios e páginas vinculadas.

Em termos práticos: é incidente de segurança + crise de comunicação + potencial incidente jurídico.

Recuperação de conta invadida: o que fazer nas primeiras 24 horas

Abaixo vai um protocolo de emergência (técnico + organizacional) para as primeiras horas, exatamente onde a maioria das empresas perde tempo.

1) Tente a recuperação oficial imediatamente

• Use os caminhos oficiais do app (recuperação por e-mail/telefone, reconhecimento, etc.).
• Verifique se o e-mail/telefone de recuperação foi alterado.
• Revise acessos em Meta Business/Contas vinculadas (quando aplicável).
• Troque senha do Instagram e do e-mail corporativo associado (muita invasão começa no e-mail).

2) Faça contenção: reduza o alcance do golpe

• Pause anúncios e desconecte integrações que possam estar expostas.
• Avise a equipe para não clicar em links “de suporte” recebidos por DM/e-mail suspeito.
• Se houver WhatsApp/Telegram internos, dispare um alerta de incidente.

3) Comunique clientes por canais alternativos

Uma medida simples que evita golpes em escala:

• Publique aviso em site, lista de e-mail, WhatsApp e outras redes (LinkedIn, TikTok etc.).
• Use mensagem curta: “Conta temporariamente sem controle. Não solicitamos pagamentos por DM. Qualquer dúvida: [canal oficial].”

4) Preserve evidências desde o começo

Antes de “mexer em tudo”, documente:

• prints de mensagens, alterações de e-mail/telefone, notificações do Instagram;
• e-mails de “senha alterada”, “novo login”, “dispositivo conectado”;
• URLs, @ do perfil, data/hora, e capturas do que o invasor publicou.

Dica prática: nomeie arquivos com data/hora e guarde em pasta única (Drive corporativo).

Como documentar provas e registrar ocorrência do jeito certo

A empresa costuma falhar aqui: ou junta prova fraca, ou apaga conteúdo achando que “resolve”.

Provas digitais que ajudam (na prática)

• Prints com data/hora + contexto (tela inteira)
• E-mails originais (não só print) mostrando remetente, data, assunto
• Logs de acessos (quando houver), dados do Meta Business, histórico de admins
• Comprovação de titularidade: CNPJ, contrato social, nota fiscal de anúncios, prints do gerenciador, domínio do site, etc.

Boletim de ocorrência eletrônico

Em geral, é recomendável registrar B.O. eletrônico o quanto antes e guardar o número/protocolo. Ele ajuda a formalizar a linha do tempo e a demonstrar diligência (inclusive para medidas judiciais, quando cabíveis).

Base legal (referência oficial)

O tema se conecta ao Código Penal, que trata do crime de invasão de dispositivo informático (entre outros). Referência: texto compilado no Planalto:

• https://www.planalto.gov.br/ccivil_03/decreto-lei/del2848compilado.htm

(Link externo informativo; a aplicação ao caso concreto depende de análise.)

Quando cabe medida judicial (liminar) para recuperar a conta

Se a plataforma não resolve via suporte e a conta é essencial para operação (vendas/atendimento), pode existir espaço para buscar medida urgente (liminar), a depender do cenário e das provas.

Em linhas gerais, a urgência costuma ser mais clara quando há:

• conta empresarial com impacto comprovável (faturamento, campanhas, suporte, lançamentos);
• risco real de golpe em consumidores (Danos a terceiros);
• provas de titularidade e de que a conta foi invadida;
• histórico de tentativas de solução pelos canais oficiais.

O que normalmente fortalece o pedido

• Linha do tempo objetiva (quando perdeu o acesso, o que ocorreu depois).
• Evidências de alteração de credenciais e de posts do invasor.
• Provas de que o perfil é ativo da empresa (marca, CNPJ, anúncios, site).
• Demonstração do prejuízo/risco (prints de DMs de golpe, reclamações, queda de vendas).

Importante: falar em liminar não é promessa de resultado. Cada caso depende das provas, do contexto e do entendimento judicial.

Boas práticas para reduzir o risco de invasão

Aqui vai um checklist preventivo (rápido e aplicável) para o “depois que recuperar”.

Checklist de segurança mínima (para time e operação)

1. Ative 2FA (preferencialmente por app autenticador).
2. Use senhas únicas + gerenciador de senhas corporativo.
3. Centralize o acesso em e-mails corporativos (evite e-mail pessoal do fundador).
4. Limite administradores no Meta Business e revise permissões mensalmente.
5. Tenha “contas de backup” e canal oficial no site para comunicados.
6. Treine equipe contra phishing (principal porta de entrada).
7. Mantenha inventário de ativos: @, e-mails, telefones, admins, links e provedores.

Boa prática de governança

Defina um “dono do ativo” (responsável interno) e um “plano de incidente” com:

• quem comunica o público;
• quem coleta provas;
• quem fala com suporte;
• quem decide sobre medidas jurídicas.

Erros comuns que custam caro

• Confiar em “suporte” por DM (golpe clássico).
• Demorar para avisar clientes, permitindo que o invasor aplique fraudes.
• Apagar prints/e-mails, perdendo a trilha de evidências.
• Manter acesso em e-mail pessoal ou com ex-funcionários.
• Improvisar recuperação sem mapear admins e integrações (o invasor volta).

Se você quer “resolver rápido”, o caminho é processo, não improviso.

FAQ

1) Em quanto tempo dá para fazer a recuperação de conta invadida?
Depende do tipo de invasão, do acesso ao e-mail/telefone e da resposta do suporte. Ter provas e titularidade bem documentadas ajuda.

2) Preciso fazer boletim de ocorrência?
Em geral, é recomendável para formalizar o fato e a linha do tempo, especialmente quando há golpe contra clientes.

3) Posso responsabilizar a plataforma automaticamente?
Não existe regra única. A viabilidade depende do caso, das provas e do que ocorreu (inclusive medidas de segurança adotadas).

4) O que devo publicar para avisar meus clientes?
Um aviso curto em canais alternativos, deixando claro que a conta está sob risco e que você não solicita pagamentos por DM.

5) Quais provas são mais importantes para o jurídico?
Linha do tempo + evidências de alteração de credenciais + demonstração de titularidade (CNPJ, anúncios, site, histórico) + registros de tentativa de solução.

Conclusão: próximos passos para recuperar controle e reduzir danos

A recuperação de conta invadida exige três frentes ao mesmo tempo: recuperação oficial, comunicação de crise e preservação de provas. Se o suporte falhar e o impacto for alto, pode fazer sentido avaliar medidas jurídicas urgentes, sempre com base em documentação robusta.

Se você está passando por isso agora (ou quer montar um protocolo preventivo), a ADB pode orientar a estrutura de resposta e a documentação correta.

Quer conversar com a Advocacia Digital Brasil (ADB)?

Atendimento 100% online, em todo o Brasil (seg–sex, 9h às 18h).
WhatsApp: +55 (11) 98686-3883 | E-mail: contato@advocaciadigitalbrasil.com.br
Fale com a Advocacia Digital Brasil

Aviso: este artigo tem caráter informativo e não substitui uma consulta jurídica.

Autor: Cláudio de Araújo Schüller.