Como recuperar conta do Facebook e Instagram invadida

Invasão de conta nas redes sociais é um dos crimes digitais mais frequentes no Brasil — e um dos mais frustrantes, porque a vítima perde o acesso de hora pra outra e não sabe por onde começar. Este guia reúne o protocolo que orientamos no atendimento a vítimas: do que fazer imediatamente até os caminhos quando a Meta simplesmente não responde.

Ações imediatas — os primeiros 5 minutos

A velocidade nos primeiros minutos pode ser a diferença entre recuperar a conta com facilidade ou enfrentar semanas de burocracia. Enquanto o invasor ainda está configurando o acesso, há janelas de reversão.

Se você ainda consegue entrar na conta

01Troque a senha imediatamente — use uma senha totalmente nova, nunca reutilizada.

02Ative o 2FA por aplicativo autenticador (Google Authenticator, Authy). Não use SMS — é vulnerável.

03Vá em Configurações → Segurança → Onde você está conectado e encerre todas as sessões desconhecidas.

04Verifique seu e-mail por notificações da Meta com assunto "sua senha foi alterada" ou "novo login detectado" — use o botão "Não fui eu" se disponível.

Avise sua rede imediatamente

Mande uma mensagem rápida pelo WhatsApp ou SMS para familiares e amigos próximos:

Mensagem de alerta "Minha conta foi invadida. Não respondam pedidos de dinheiro, links ou mensagens que pareçam vir de mim. Estou recuperando o acesso."

Isso é crítico. O golpe mais comum após a invasão de conta é o invasor fingir ser você e pedir Pix para seus contatos. Uma mensagem de alerta rápida pode evitar que outras pessoas sejam lesadas.

Troque senhas de contas vinculadas

Se você usava a mesma senha ou tinha o Facebook/Instagram conectado a outros serviços, esses também estão comprometidos. Priorize:

E-mail principal (Gmail, Outlook, Yahoo)
Contas bancárias e carteiras digitais (Mercado Pago, PicPay)
iCloud / conta Google
Lojas online onde você tem cartão salvo (Amazon, Shopee, Shein)

Recuperação oficial — Facebook

O Facebook tem uma página dedicada para contas comprometidas. Acesse diretamente pelo navegador — nunca clique em links que cheguem por e-mail ou DM dizendo ser do suporte.

URL oficial facebook.com/hacked — acesse digitando diretamente na barra de endereço.

01Selecione "Minha conta foi comprometida"

02Identifique sua conta pelo e-mail, número de telefone ou nome de usuário

03Siga o fluxo de verificação guiado — pode incluir reconhecimento de fotos de amigos, código por SMS ou e-mail

04Após recuperar o acesso: Configurações → Segurança e Login → Onde você está conectado → encerre todas as sessões ativas

Recuperação oficial — Instagram

Se ainda consegue solicitar código

01Na tela de login, toque em "Esqueceu a senha?"

02Digite o e-mail, telefone ou nome de usuário cadastrado

03Receba o link ou código de 6 dígitos e redefina o acesso

Se não consegue entrar de forma alguma

Na tela de login, toque em "Precisa de mais ajuda?". O fluxo pode incluir confirmação por e-mail, por telefone, ou uma selfie em vídeo — usada quando há fotos suas no perfil para confirmar identidade biométrica.

Selfie de vídeo Essa opção aparece para perfis com histórico de fotos do rosto. É um dos métodos mais eficazes de recuperação quando e-mail e telefone foram alterados pelo invasor. Não pule essa etapa.

Quando o fluxo oficial não funciona

Alguns invasores alteram e-mail, telefone e senha em sequência, eliminando todas as opções de recuperação automática. Nesse caso, o caminho é a notificação extrajudicial direta para a Meta.

Passo 1 — Crie um e-mail completamente novo

Esse e-mail precisa ser: totalmente novo, nunca cadastrado no Facebook ou Instagram, nunca usado em nenhum outro serviço. A Meta só envia link de recuperação para endereços não associados à conta comprometida.

Passo 2 — Envie notificação extrajudicial com

Seus dados completos (nome, CPF, endereço)
Relato objetivo do ocorrido (data, o que aconteceu, o que você perdeu)
Cópia do RG ou CNH
Seu novo e-mail (para receber o link de recuperação)

Endereço oficial da Meta no Brasil Facebook Serviços Online do Brasil Ltda
Rua Leopoldo Couto de Magalhães Júnior, 700 – 6º andar
Itaim Bibi – São Paulo/SP

Após recuperar o acesso, revise imediatamente

E-mail e telefone cadastrados — confirme que são os seus
Aplicativos conectados à conta — remova tudo que não reconhecer
Sessões ativas — encerre todas
Publicações feitas pelo invasor — remova e documente antes

Quando só a Justiça resolve

Há situações em que nenhum fluxo administrativo funciona: o invasor alterou tudo, você não consegue comprovar identidade pelos meios disponíveis, e a Meta simplesmente não responde. Nesses casos, somente uma ordem judicial garante a devolução da conta.

Para iniciar esse caminho, você vai precisar de um advogado e de um boletim de ocorrência. Registre a ocorrência online pela Delegacia Virtual do seu estadoisso gera um número de BO que serve de base para qualquer ação judicial ou extrajudicial posterior.

Documente tudo antes Prints de conversas onde o invasor se passou por você, capturas do perfil com alterações, e-mails de notificação da Meta, comprovantes de tentativas de recuperação — guarde tudo. Qualquer evidência pode ser útil no processo.

Blindagem após recuperar a conta

Recuperar é só metade do trabalho. Quem foi invadido uma vez tem mais chance de ser invadido novamente se não mudar os hábitos. As medidas abaixo eliminam os vetores de ataque mais comuns:

012FA por aplicativo, não por SMS. SMS é vulnerável a clonagem de chip e engenharia social. Use Google Authenticator ou Authy.

02Senha única e longa para cada conta. Use um gerenciador como Bitwarden (gratuito) ou 1Password. Nunca reutilize senhas.

03Códigos de backup offline. Salve os códigos de recuperação em papel ou num cofre digital — nunca só no celular.

04Remova apps conectados suspeitos. Facebook: Configurações → Apps e Sites. Instagram: Segurança → Apps e Sites.

05Nunca compartilhe códigos recebidos por SMS ou e-mail. Esse é o vetor número 1 das invasões — o golpista liga fingindo ser suporte e pede o código que acabou de chegar no seu celular.

06A Meta nunca manda DM. Qualquer "suporte" que chegue por mensagem direta é golpe. Sem exceção.

A maioria das invasões de conta não envolve hackers sofisticados — envolve senhas reutilizadas, links clicados sem verificar, e códigos de autenticação compartilhados por engano. As medidas de blindagem acima eliminam praticamente todos esses vetores.

Se você passou por isso e quer orientação sobre como registrar a ocorrência ou quais caminhos legais existem, o @bondcore.br tem conteúdo sobre isso — ou chega lá direto.