WhatsApp

Código de 6 dígitos do WhatsApp: por que nunca repassar a ninguém

Esse código permite clonar sua conta. Entenda o golpe, como reagir e como ativar verificação em duas etapas.

20 min de leitura

Você recebe um SMS com seis números. Segundos depois, chega mensagem no WhatsApp: "Mandei um código aí, preciso confirmar uma promoção / liberar meu número / validar o grupo. Me repassa rapidinho?" Esse é um dos golpes mais comuns do Brasil em 2025 e 2026 — e o prejuízo costuma começar minutos depois que a vítima digita os seis dígitos na conversa errada. Este guia explica o que é esse código, por que ele nunca deve sair do seu celular, quais histórias os golpistas usam e o que fazer se você já repassou.

O que é o código de 6 dígitos e como a clonagem funciona

Quando o WhatsApp precisa confirmar que você é dono de um número de telefone, envia um SMS ou ligação com código de seis dígitos. Esse fluxo existe para impedir que qualquer pessoa registre seu número em outro aparelho sem acesso ao chip.

O golpe inverte a lógica: o criminoso inicia o cadastro do seu número no aparelho dele. O SMS chega no seu celular — porque o chip é seu. Em seguida, ele convence você a ler ou encaminhar o código. Com os seis dígitos, ele conclui a instalação, toma sua conta e passa a falar com sua agenda como se fosse você.

Relatos analisados pelo CERT.br e por delegacias de crimes cibernéticos em São Paulo, Minas Gerais e Pernambuco mostram o mesmo padrão: a conta clonada pede Pix urgente para parentes, divulga link falso em grupos de condomínio ou envia código para clonar o próximo alvo na lista de contatos. Em Campinas, uma vítima relatou prejuízo de R$ 4.800 em menos de duas horas — três transferências feitas por irmãos que acreditaram nas mensagens vindas do número antigo dela.

Para entender o ecossistema completo da fraude, leia o panorama em golpes no WhatsApp e o detalhamento do ataque em golpe da clonagem no WhatsApp.

Diferença entre código SMS e PIN de verificação em duas etapas

Muita gente confunde os dois e cai justamente por isso:

| Tipo | Quem envia | Para quê serve | |------|------------|----------------| | Código SMS de 6 dígitos | WhatsApp/Meta | Provar acesso ao chip na instalação ou troca de aparelho | | PIN de verificação em duas etapas | Você define no app | Bloquear registro mesmo quem tenha o código SMS |

O PIN não chega por mensagem de terceiros. Se alguém pedir "o PIN do WhatsApp" ou "o código de segurança da conta", é o mesmo golpe com outro nome.

Histórias que golpistas usam para pedir o código

Criminosos raramente dizem "me dá o código para te clonar". Eles embrulham o pedido em narrativas que desligam o senso crítico.

"Preciso do código para liberar meu número novo"

Variante clássica: contato aparentemente real diz que trocou de celular e o WhatsApp pediu confirmação. Pede que você repasse o código que você acabou de receber — o que não faz sentido lógico, porque o SMS foi disparado pela tentativa de registro deles, não sua. Se parar trinta segundos para pensar, a inconsistência aparece.

"Sou suporte do WhatsApp / Meta verificado"

Mensagens com foto de headset, selo falso e link para formulário. O CERT.br documenta que plataformas legítimas não solicitam código de verificação por chat. Áudios com voz robótica dizendo que sua conta será bloqueada em uma hora completam a pressão.

"Ganhei um prêmio / vaga de emprego e pediram confirmação"

Golpes de falso emprego pedem que a vítima "valide identidade" repassando código recebido por SMS. Em Goiânia, jovens em busca do primeiro emprego relataram perda da conta e, em seguida, golpes contra a família com pedidos de Pix de R$ 200 a R$ 1.500.

"É para entrar no grupo da família / igreja / condomínio"

O golpista se passa por administrador e diz que o código é para adicionar você ou confirmar convite. Grupos grandes de parentes são alvos preferenciais: uma conta clonada atinge dezenas de pessoas que confiam no remetente.

Parente clonado pedindo "só um favor rápido"

Não é você quem recebe o SMS primeiro — é outro familiar. O golpista, já dentro da conta do filho, pede que a mãe repasse o código que chegou no celular dela. A cadeia de clonagem avança contato por contato.

Sinais de que estão tentando clonar sua conta

Use este checklist antes de responder qualquer mensagem sobre código:

  • [ ] Você recebeu SMS do WhatsApp sem ter reinstalado o app ou trocado de celular
  • [ ] Alguém pede o código por WhatsApp, Telegram, Instagram ou ligação — nunca pelo canal oficial do app
  • [ ] A mensagem traz urgência: "expira em 5 minutos", "vou perder o número", "conta bloqueada"
  • [ ] Quem pede é contato salvo, mas o tom está diferente — mais seco, com erros, sem os emojis de sempre
  • [ ] Pedem código e pedem silêncio: "não conta para ninguém, é surpresa"
  • [ ] Há link para "ativar verificação" fora de whatsapp.com ou play.google.com/appstore

Se marcou dois ou mais itens, pare. Não envie o código. Confirme por ligação telefônica usando o número que você já tinha salvo — não o que aparece na conversa suspeita. A ferramenta WhatsApp suspeito do Desconfiei ajuda a analisar prints de conversas com sinais de golpe.

O que fazer quando receber SMS sem ter pedido

Passo 1 — Não repasse o código. Nem digitando na conversa, nem por áudio, nem foto da tela do SMS.

Passo 2 — Abra o WhatsApp no seu aparelho. Se abrir normalmente, sua conta ainda está com você. Vá em Configurações → Conta → Verificação em duas etapas e confirme se o PIN está ativo. Se não estiver, configure agora.

Passo 3 — Verifique dispositivos vinculados. Em Configurações → Dispositivos vinculados, encerre sessões que não reconhecer.

Passo 4 — Avise o contato que pediu o código (se foi alguém conhecido) ligando para o telefone antigo dele. Pode ser a conta dele que está comprometida.

Passo 5 — Denuncie. No WhatsApp, toque no contato → Denunciar. Guarde print do SMS e da conversa.

Se o app já não abre ou pede verificação de novo no seu celular, alguém pode ter concluído a clonagem. Siga o fluxo de recuperação descrito na seção abaixo e consulte o que fazer se caiu em golpe de WhatsApp.

Se você já repassou o código: roteiro de emergência

A velocidade define o tamanho do prejuízo. Golpistas costumam disparar mensagens para toda a agenda em minutos.

Nos primeiros 5 minutos

  1. Tente abrir o WhatsApp — se pedir código de novo, digite o que chegar no seu SMS imediatamente para recuperar a sessão
  2. Se recuperar, vá em dispositivos vinculados e desconecte tudo que não for seu celular
  3. Ative verificação em duas etapas com PIN que não compartilhe com ninguém
  4. Envie mensagem em grupos principais: "Minha conta foi invadida, ignore pedidos de Pix"

Se perdeu acesso completamente

  1. Reinstale o WhatsApp e registre com seu número; o SMS de verificação deve chegar no seu chip
  2. Se o criminoso ativou verificação em duas etapas na conta roubada, o app pedirá o PIN deles — nesse caso, aguarde o período de segurança de 7 dias e tente novamente, ou use recuperação por e-mail se você tinha cadastrado antes do ataque
  3. Comunique contatos por Instagram, e-mail ou ligação — não espere recuperar o WhatsApp para avisar
  4. Registre boletim na delegacia digital do seu estado descrevendo a clonagem

Se parentes já transferiram Pix

Oriente as vítimas financeiras a ligar imediatamente para o banco, pedir contestação e registrar B.O. com número do golpista e chave Pix. Quanto mais rápido, maior a chance de bloqueio de valores ainda na conta recebedora.

Por que o código parece "inofensivo"

A maioria das pessoas associa senha bancária a dinheiro, mas não faz a mesma conexão com código de app de mensagem. O erro é tratar WhatsApp como "só conversa". No Brasil, onde Pix e grupos de família concentram decisões financeiras informais, controlar sua conta equivale a ter acesso à sua rede de confiança.

Pesquisadores em segurança digital citam o conceito de account takeover (tomada de conta): o ativo não é o app, é a identidade social digital. Golpistas vendem contas clonadas em fóruns clandestinos por valores baixos; o retorno vem dos Pix aplicados na agenda.

Idosos em cidades do interior — Triângulo Mineiro, interior da Bahia, norte do Paraná — aparecem com frequência em boletins da Polícia Civil por esse motivo: atendem rápido ao "neto" ou "sobrinho" no WhatsApp. Campanhas de prevenção que usam a frase "código é como a chave de casa" têm melhor adesão do que palestras técnicas.

Regras para família e grupo de trabalho

Combine regras escritas no grupo da família ou da empresa:

  1. Código de SMS do WhatsApp nunca é compartilhado — com ninguém, em nenhuma situação
  2. Pix acima de R$ 100 exige ligação para confirmar identidade, mesmo vindo de contato salvo
  3. Palavra-código familiar para situações de emergência real ("Se for eu pedindo dinheiro de verdade, digo X")
  4. Desconfiar de áudio curto pedindo favor — voz pode ser clonada por IA em golpes mais sofisticados
  5. Verificação em duas etapas obrigatória para todos que administram grupos com muitos membros

Para ensinar parentes com menos familiaridade digital, sente ao lado e configure o PIN junto. Mostre onde fica a tela de dispositivos vinculados. Repita: o WhatsApp nunca pede que você mande o código para outra pessoa.

Perguntas que você deve fazer antes de enviar qualquer código

  • Por que eu recebi SMS se quem precisa é outra pessoa?
  • Se é suporte oficial, por que não resolvem pelo app ou site sem o meu código?
  • Posso ligar para essa pessoa no número que tenho salvo desde antes da mensagem?
  • O que acontece se eu simplesmente ignorar — alguém real perde algo legítimo ou só o golpista fica sem o código?
  • Já verifiquei se minha conta tem verificação em duas etapas ativa?

Na dúvida, a resposta correta é não enviar.

Como o golpe se conecta a outras fraudes

A clonagem por código raramente é o objetivo final. É a porta de entrada para:

  • Golpe do Pix urgente para parentes e colegas
  • Golpe "mudei de número" — mensagem broadcast para toda agenda
  • Captação de novos códigos — usando sua conta para pedir código a outros
  • Links maliciosos em grupos onde você é administrador

Por isso proteger o código SMS é a primeira camada de uma cadeia maior. A segunda camada é verificação em duas etapas; a terceira é hábito de confirmar pedidos de dinheiro por canal independente.

Mitos que mantêm o golpe vivo

"Só repasso se for familiar." Familiares têm contas clonadas justamente para explorar essa confiança.

"O código expira rápido, então não tem risco." Expira para o golpista, não para você — e novos códigos podem ser solicitados em sequência.

"Meu número é simples, não tenho nada a perder." Sua agenda vale mais que seu saldo bancário para o criminoso.

"Uso WhatsApp Business, então é diferente." O fluxo de verificação é o mesmo; lojas e MEIs perdem credibilidade quando clientes recebem cobranças falsas.

"Se eu não mandar, vou prejudicar alguém." Quem pressiona com essa culpa, em contexto de código SMS, está manipulando.

Prevenção técnica resumida

| Ação | Onde no app | Frequência | |------|-------------|------------| | Ativar verificação em duas etapas | Configurações → Conta | Uma vez, revisar a cada 6 meses | | Cadastrar e-mail de recuperação | Mesma tela do PIN | Ao ativar 2FA | | Revisar dispositivos vinculados | Configurações → Dispositivos | Semanal se você é alvo frequente | | Atualizar app | Loja oficial | Sempre que houver atualização | | Bloquear instalação de apps desconhecidos | Configurações do Android/iOS | Permanente |

Não instale "WhatsApp Plus", "GB WhatsApp" ou mods não oficiais — além de violar termos de uso, muitos capturam credenciais e facilitam interceptação.

O papel das autoridades e onde denunciar

O CERT.br, centro de tratamento de incidentes de segurança no Brasil, publica alertas recorrentes sobre golpes de engenharia social envolvendo mensageiros. A Polícia Civil de diversos estados — como a DEIC em São Paulo e unidades de repressão a crimes cibernéticos no Rio, Bahia e Distrito Federal — orienta vítimas a registrar B.O. digital mesmo sem prejuízo financeiro imediato, pois a clonagem configura invasão de dispositivo/conta.

Denunciar no próprio WhatsApp e preservar evidências (SMS, prints, números) ajuda investigações e alimenta estatísticas que direcionam campanhas de prevenção.

Leituras e ferramentas relacionadas

Artigos relacionados

Golpes parecidos na biblioteca

Perguntas frequentes

O que é o código de 6 dígitos do WhatsApp e por que ele chega por SMS?

É o código de verificação que o WhatsApp envia ao seu número quando alguém tenta registrar ou reinstalar o app com aquele telefone. Ele prova que quem está ativando a conta tem acesso ao chip. Se você não pediu reinstalação e recebeu SMS, alguém está tentando tomar sua conta — e qualquer pessoa que pedir esse código por mensagem está tentando cloná-la.

Posso repassar o código para um amigo ou familiar de confiança?

Não, em hipótese alguma. O WhatsApp nunca pede que você compartilhe o código com contatos, suporte ou grupos. Mesmo quem você conhece há anos pode estar com a conta clonada e repassar o pedido sem saber. A regra é simples: código de verificação é só seu e só entra no app oficial instalado no seu celular.

Já enviei o código para alguém. O que fazer nos primeiros 10 minutos?

Tente abrir o WhatsApp imediatamente no seu celular. Se ainda tiver acesso, vá em Configurações, Conta, e verifique dispositivos vinculados. Se perdeu acesso, reinstale o app, confirme com o SMS que chegará no seu chip e, assim que recuperar, ative verificação em duas etapas. Avise contatos próximos por outro canal — ligação, Instagram, e-mail — que sua conta pode ser usada para pedir Pix.

Golpista pediu o código dizendo ser suporte do WhatsApp. É verdade?

Não. O WhatsApp e a Meta não entram em contato por mensagem pedindo código, senha ou pagamento. Mensagens com selo verificado falso, links para "central de verificação" ou áudios de suposto atendente são golpe. O suporte oficial não solicita o código de seis dígitos — quem pede está aplicando o golpe da clonagem.

Por que idosos caem mais nesse golpe no Brasil?

Muitas vezes combinam confiança em contatos do WhatsApp, pouca familiaridade com códigos de verificação e pressão de mensagens que parecem vir de filhos ou netos. Golpistas exploram o hábito de ajudar rápido. Orientação prática — "código nunca sai do celular" — funciona melhor que explicações técnicas longas.

Verificação em duas etapas impede clonagem mesmo depois de vazar o código SMS?

Sim, na maioria dos casos. Com PIN de seis dígitos e e-mail de recuperação ativos, o criminoso precisa de uma segunda credencial que não chega por SMS. Não é blindagem absoluta se você também revelar o PIN, mas bloqueia o ataque mais comum — só o código SMS não basta para registrar em outro aparelho.

Vale registrar boletim se ninguém transferiu Pix ainda?

Sim, se a conta foi tomada ou houve tentativa clara de clonagem. O B.O. documenta o incidente para eventual uso em disputas, estatísticas da Polícia Civil e processos futuros. A delegacia digital do seu estado costuma aceitar crimes cibernéticos sem deslocamento presencial.

Compartilhar:WhatsAppTwitter/X
Denunciar golpe