Decripte — Cibersegurança Enterprise
Segurança Digital · Conta hackeada

Facebook Hackeado: Como Recuperar sua Conta e Proteger Tudo Agora

Resposta rápida

Se sua conta do Facebook foi hackeada, acesse imediatamente facebook.com/hacked e siga o fluxo oficial da Meta para recuperar o acesso — mesmo que o invasor já tenha trocado seu e-mail e senha. Após recuperar, ative a autenticação em dois fatores e revise todos os aplicativos conectados. Empresas que têm páginas ou Business Manager invadidos devem agir em até 24 horas para evitar golpes de anúncios e perda de acesso ao gerenciador de negócios.

Comece grátis agora Guia de Segurança Digital

A Decripte é uma empresa de cibersegurança que atende empresas de 1 a mais de 100.000 colaboradores. Se você cuida da segurança do seu negócio, comece pelo plano gratuito de Gestão de Ameaças.

Sinais de alerta

  • Você não consegue fazer login mesmo com a senha correta, indicando que o invasor já a trocou.
  • Amigos ou familiares relatam ter recebido mensagens suas pedindo dinheiro, PIX ou dados pessoais.
  • Você recebe e-mails da Meta informando alterações em senha, e-mail ou número de telefone que você não realizou.
  • Aparecem postagens, comentários ou curtidas em sua linha do tempo que você não fez.
  • O Facebook exibe alertas de login em dispositivos ou localizações desconhecidas.
  • Suas páginas comerciais ou anúncios mostram movimentações financeiras ou publicações não autorizadas.

Passo a passo — o que fazer

  1. 1

    1. Acesse facebook.com/hacked imediatamente

    Abra o navegador e vá direto para facebook.com/hacked — essa é a Central de Recuperação oficial da Meta. Ela detecta automaticamente se há atividade suspeita e guia você pelo processo de recuperação sem precisar lembrar a senha atual.

  2. 2

    2. Identifique sua conta pelo telefone ou e-mail

    Se o invasor já trocou sua senha, use o recurso 'Esqueci a senha' em facebook.com/login/identify e informe o número de telefone ou endereço de e-mail antigo vinculado à conta. A Meta enviará um código de verificação para confirmar sua identidade.

  3. 3

    3. Use o código enviado ao celular ou e-mail de backup

    Caso o invasor tenha trocado o e-mail principal, mas você ainda tem acesso ao telefone cadastrado, solicite o código por SMS. Se o telefone também foi alterado, clique em 'Não tenho mais acesso a isso' e siga o fluxo de verificação por identidade (envio de documento de identidade à Meta).

  4. 4

    4. Troque a senha imediatamente após recuperar o acesso

    Assim que retomar o acesso, vá em Configurações > Segurança e login > Alterar senha. Crie uma senha única com pelo menos 16 caracteres, misturando letras maiúsculas, minúsculas, números e símbolos. Nunca reutilize senhas de outros serviços.

  5. 5

    5. Encerre todas as sessões ativas em outros dispositivos

    Em Configurações > Segurança e login > Onde você entrou, clique em 'Sair de todas as sessões'. Isso desconecta o invasor de qualquer dispositivo onde ele ainda esteja logado com sua conta.

  6. 6

    6. Ative a autenticação em dois fatores (2FA)

    Vá em Configurações > Segurança e login > Autenticação de dois fatores e ative usando um aplicativo autenticador (Google Authenticator, Authy). Evite depender apenas de SMS, que pode ser interceptado por golpes de SIM swap.

  7. 7

    7. Revise e remova aplicativos conectados suspeitos

    Acesse Configurações > Aplicativos e sites e revogue o acesso de todos os aplicativos desconhecidos ou que você não usa mais. Invasores frequentemente mantêm acesso à conta por apps conectados mesmo após a senha ser trocada.

  8. 8

    8. Avise seus contatos e denuncie à Meta

    Publique um aviso informando que sua conta foi comprometida e que mensagens recebidas durante o período podem ser golpes. Use o Centro de Ajuda da Meta para reportar o incidente e, se usaram sua conta para crimes, registre Boletim de Ocorrência online.

O que NÃO fazer

  • Não clique em links de 'recuperação de conta' recebidos por WhatsApp, SMS ou e-mail de desconhecidos — são armadilhas de phishing que roubam suas credenciais novamente.
  • Não pague a nenhum 'especialista em recuperação de conta' que apareça em grupos ou redes sociais — não existe serviço pago de recuperação; o único caminho é o fluxo oficial da Meta.
  • Não tente adivinhar a nova senha do invasor: o bloqueio automático por tentativas excessivas pode dificultar sua própria recuperação.
  • Não ignore o incidente achando que vai resolver sozinho — contas abandonadas continuam sendo usadas para golpes contra seus contatos por semanas.
  • Não reative o mesmo e-mail ou senha comprometidos — troque todos os serviços que usavam as mesmas credenciais do Facebook.

Como recuperar uma conta do Facebook quando o invasor trocou e-mail e senha

Quando um invasor altera o e-mail e a senha da sua conta, o Facebook envia automaticamente um e-mail para o endereço anterior com um link especial para desfazer a alteração. Esse link expira em poucas horas, portanto verifique a caixa de entrada e a pasta de spam do e-mail antigo imediatamente.

Se o link já expirou ou você não tem mais acesso ao e-mail anterior, acesse facebook.com/hacked e escolha a opção 'Minha conta foi comprometida'. O sistema vai pedir que você se identifique pelo número de telefone cadastrado, nome completo ou endereço de e-mail alternativo.

Em casos onde o invasor removeu todas as formas de contato, a Meta oferece a verificação por documento de identidade: você envia uma foto do RG, CNH ou passaporte e a equipe analisa o pedido manualmente, processo que pode levar de 1 a 5 dias úteis. É o caminho mais demorado, mas é seguro e oficial. Nunca envie documentos por canais não oficiais.

Se você tem conta no Instagram vinculada ao mesmo e-mail ou número de telefone, o acesso ao Instagram pode ajudar a verificar sua identidade junto à Meta nas Contas da Meta (accounts.facebook.com/accounts/manage). A integração entre os sistemas da Meta costuma acelerar a recuperação.

Página comercial e Business Manager invadidos: o que fazer

Invasões a páginas comerciais e ao Gerenciador de Negócios da Meta (business.facebook.com) são especialmente graves: o invasor pode criar campanhas de anúncios fraudulentos usando o cartão de crédito da empresa, alterar o pixel do site, remover administradores legítimos e até vender acesso à página.

Se você ainda tem acesso à sua conta pessoal mas perdeu o acesso à página, vá em business.facebook.com > Configurações de negócios > Pessoas e adicione novamente seu perfil pessoal como administrador. Se o invasor já removeu seu acesso ao Business Manager, acesse business.facebook.com/business/help e abra um chamado indicando que sua conta foi comprometida.

Para páginas gerenciadas diretamente (sem Business Manager), acesse a página e verifique em Configurações > Funções na página todos os perfis com permissão de administrador. Remova imediatamente qualquer conta desconhecida. Altere também a senha do e-mail corporativo vinculado à página, pois muitos ataques partem do e-mail comprometido.

Verifique em Configurações > Anúncios > Formas de pagamento se há cobranças não autorizadas. Bloqueie o cartão imediatamente junto ao banco e solicite estorno das cobranças fraudulentas. Guarde prints de todas as evidências para o Boletim de Ocorrência e eventual ação judicial.

Empresas que sofrem invasão ao Business Manager e têm múltiplas páginas, contas de anúncios ou funcionários com acesso devem realizar uma revisão completa de permissões após a recuperação — cada conta de colaborador pode ter sido usada como vetor de entrada.

Proteja também a sua empresa

Veja de graça o que já vazou do seu negócio.

O plano gratuito de Gestão de Ameaças da Decripte mapeia vulnerabilidades, monitora ameaças e mostra credenciais vazadas — sem cartão e sem equipe técnica.

Comece grátis agora

O que fazer se usaram sua conta para aplicar golpes nos seus contatos

Golpes de sequestro de conta no Facebook seguem um padrão bem documentado: o invasor assume o perfil, envia mensagens para amigos e familiares pedindo dinheiro via PIX ('estou em apuro, me ajuda?'), divulga links de phishing ou oferece produtos inexistentes em grupos de compra e venda.

Assim que recuperar o acesso, publique imediatamente um aviso em sua linha do tempo explicando que a conta foi invadida e que mensagens suspeitas devem ser ignoradas. Contate diretamente pelo WhatsApp ou telefone as pessoas mais próximas que possam ter sido abordadas.

Se amigos já transferiram dinheiro achando que eram você, oriente-os a registrar Boletim de Ocorrência online (delegacia virtual do estado) relatando estelionato e incluindo prints das conversas, número da chave PIX usada e valor transferido. O Banco Central mantém o mecanismo MED (Mecanismo Especial de Devolução) para casos de fraude, e o banco pode bloquear a conta do destinatário.

Denuncie o perfil falso (caso o invasor tenha criado um clone da sua conta) diretamente pelo botão de denúncia do Facebook, selecionando 'É uma conta falsa' > 'Está se passando por mim'. A Meta analisa e remove contas fraudulentas com mais rapidez quando há múltiplas denúncias do mesmo alvo.

Como proteger o Facebook com autenticação em dois fatores e boas práticas

A autenticação em dois fatores (2FA) é a medida de segurança mais eficaz disponível no Facebook: mesmo que o invasor descubra sua senha, precisará do código temporário gerado no seu celular para entrar. Acesse Configurações > Segurança e login > Autenticação de dois fatores e ative usando um aplicativo como Google Authenticator ou Authy.

Prefira o aplicativo autenticador ao SMS: o golpe chamado SIM swap (ou clonagem de chip) permite que criminosos recebam os seus SMS ao convencer a operadora a transferir seu número para um chip deles. Com o app autenticador, o código é gerado localmente no seu dispositivo, sem depender da operadora.

Salve os códigos de recuperação gerados pelo Facebook (Configurações > Segurança e login > Usar sem celular) em um local seguro e offline, como um gerenciador de senhas ou papel em local protegido. Esses códigos são a última opção caso você perca o celular e o acesso ao autenticador.

Revise periodicamente em Configurações > Aplicativos e sites quais serviços têm acesso à sua conta. Apps de quiz, jogos e ferramentas de marketing frequentemente solicitam permissões amplas e, se comprometidos, podem vazar seus dados ou ser usados para acessar sua conta.

Ative os alertas de login (Configurações > Segurança e login > Receber alertas sobre logins não reconhecidos) para ser notificado por e-mail ou notificação toda vez que sua conta for acessada de um dispositivo ou localização nova.

Da conta pessoal à empresa: quando o incidente vira um problema de cibersegurança corporativa

Para pessoas físicas, a invasão ao Facebook é uma experiência estressante e constrangedora — mas geralmente contida. Para empresas, o cenário é diferente: uma conta pessoal do sócio ou funcionário conectada ao Business Manager pode ser a porta de entrada para sequestrar toda a presença digital da marca, desviar verba de anúncios e lesar clientes.

Pequenas e médias empresas que dependem do Facebook para vendas, suporte e relacionamento com clientes enfrentam risco financeiro e reputacional direto. Uma campanha de anúncios fraudulenta rodando com o CNPJ da empresa pode gerar cobranças de dezenas de milhares de reais antes de ser bloqueada pela Meta.

A Decripte atende exclusivamente empresas — do MEI ao Enterprise — com planos de cibersegurança que incluem monitoramento contínuo de ativos digitais, resposta a incidentes e proteção de identidade digital. Se sua empresa sofreu ou sofre frequentemente tentativas de invasão a redes sociais, e-mail corporativo ou sistemas internos, o plano gratuito de Gestão de Ameaças da Decripte é o ponto de partida sem compromisso: ele entrega um diagnóstico real do seu risco usando fontes abertas de inteligência de ameaças. Para empresas com histórico de incidentes ou exposição maior, os planos pagos incluem equipe de resposta disponível 24 horas e relatórios executivos para gestão e conselho.

Termos importantes

Autenticação em dois fatores (2FA)
Camada adicional de segurança que exige, além da senha, um segundo elemento de verificação — geralmente um código temporário gerado por aplicativo ou enviado por SMS. Mesmo que um invasor descubra sua senha, não consegue entrar sem esse segundo código.
SIM Swap (clonagem de chip)
Golpe no qual criminosos convencem a operadora de telefonia a transferir o número da vítima para um chip controlado por eles, passando a receber todos os SMS de verificação da vítima e podendo assim burlar a autenticação por mensagem de texto.
Business Manager (Gerenciador de Negócios da Meta)
Plataforma da Meta (business.facebook.com) que centraliza a gestão de páginas do Facebook, contas de anúncios, pixels e equipes de uma empresa. Um acesso indevido ao Business Manager pode comprometer toda a operação digital e financeira da empresa na plataforma.
Mecanismo Especial de Devolução (MED)
Recurso do Banco Central do Brasil que permite às instituições financeiras bloquear e devolver valores transferidos via PIX em casos de fraude comprovada. A ativação depende de registro de ocorrência policial e contestação formal junto ao banco do pagador.

Perguntas frequentes

Consigo recuperar minha conta do Facebook sem acesso ao e-mail ou telefone cadastrado?

Sim, mas o processo é mais demorado. Acesse facebook.com/hacked, escolha 'Não tenho mais acesso a isso' e siga o fluxo de verificação por documento de identidade. Você precisará enviar uma foto de um documento oficial (RG, CNH ou passaporte) para a Meta. A análise leva entre 1 e 5 dias úteis. Não existe atalho — desconfie de serviços pagos que prometem recuperar contas.

O que faço se o Facebook pedir para eu confirmar minha identidade por selfie?

A Meta usa reconhecimento facial como forma de verificação em alguns casos. Siga as instruções na tela, que pedem que você grave um vídeo curto virando o rosto em diferentes ângulos. Esse recurso é processado automaticamente e os dados biométricos são excluídos após a verificação, conforme a política de privacidade da Meta. É um processo seguro e oficial.

Alguém usou minha conta para pedir dinheiro aos meus amigos. O que eles devem fazer?

Seus amigos devem ignorar e não pagar. Quem já pagou deve registrar Boletim de Ocorrência online relatando estelionato, com prints da conversa e comprovante da transferência. O banco pode acionar o Mecanismo Especial de Devolução (MED) do Banco Central para tentar recuperar os valores enviados via PIX em casos de fraude comprovada.

O invasor criou anúncios com minha conta de negócios. Como paro as cobranças?

Acesse business.facebook.com > Configurações > Formas de pagamento e remova o cartão cadastrado. Em paralelo, contate seu banco para contestar as cobranças não autorizadas e bloquear o cartão preventivamente. Após recuperar o acesso, pause todas as campanhas ativas e revise o histórico de anúncios em Gerenciador de Anúncios para documentar os valores movimentados.

Devo usar o SMS ou um aplicativo para o segundo fator de autenticação?

Sempre prefira um aplicativo autenticador (Google Authenticator, Authy, Microsoft Authenticator). O SMS está sujeito ao golpe de SIM swap, no qual criminosos convencem a operadora a transferir seu número de telefone para um chip deles, recebendo seus códigos de verificação. O aplicativo gera códigos localmente, sem depender da operadora de telefonia.

Como sei se minha conta do Facebook foi usada para golpes enquanto eu não tinha acesso?

Acesse Configurações > Atividade fora do Facebook e o log de atividades do seu perfil (seta ao lado do nome > Atividade de registro). Verifique mensagens enviadas na caixa do Messenger em busca de conversas que você não iniciou. Cheque também postagens, curtidas e comentários no período em que a conta estava comprometida.

Minha empresa tem o Business Manager invadido. A Meta tem suporte prioritário para empresas?

Sim. Contas com investimento significativo em anúncios geralmente têm acesso ao chat de suporte da Meta para Negócios em business.facebook.com/business/help. Acesse essa central, selecione 'Acesso à conta comprometida' e abra um chamado. Empresas com gerente de conta dedicado devem contatá-lo diretamente. Para casos com perdas financeiras expressivas, considere também assessoria jurídica especializada em crimes cibernéticos.

Segurança para empresas

A Decripte protege empresas de todos os tamanhos — do MEI ao Enterprise.

Plataforma e serviços completos: gestão de ameaças, SOC 24x7, resposta a incidentes, pentest e conformidade. Comece de graça e veja o que já vazou do seu negócio.

Comece grátis agora Ver planos