Instagram hackeado: como recuperar sua conta e nunca mais passar por isso
Resposta rápida
Se sua conta do Instagram foi invadida, acesse imediatamente instagram.com/hacked e siga o fluxo oficial da Meta para recuperação — mesmo que o hacker já tenha trocado seu e-mail e senha. Caso o e-mail e o telefone também tenham sido alterados, solicite um código de suporte diretamente pelo aplicativo ou envie uma selfie em vídeo para confirmar sua identidade. Agir nas primeiras horas aumenta significativamente a chance de recuperar o acesso sem perda permanente dos dados.
A Decripte é uma empresa de cibersegurança que atende empresas de 1 a mais de 100.000 colaboradores. Se você cuida da segurança do seu negócio, comece pelo plano gratuito de Gestão de Ameaças.
Sinais de alerta
- ›Você não consegue fazer login mesmo com a senha correta — ela foi trocada sem sua autorização.
- ›Chega um e-mail de [email protected] avisando que o endereço de e-mail ou número de telefone da conta foi alterado.
- ›Seguidores ou contatos relatam que receberam mensagens estranhas, links suspeitos ou pedidos de dinheiro vindos do seu perfil.
- ›Publicações aparecem no feed ou nos Stories sem que você as tenha feito, ou publicações antigas foram apagadas.
- ›O aplicativo exibe um aviso de 'Atividade suspeita' ou pede que você confirme um login de um dispositivo ou país desconhecido.
- ›Seu nome de usuário, foto de perfil ou biografia foram alterados sem que você tenha feito isso.
Passo a passo — o que fazer
- 1
Acesse instagram.com/hacked
Abra o navegador e vá para instagram.com/hacked — esta é a página oficial da Meta para contas comprometidas. Selecione 'Minha conta foi hackeada' e informe o endereço de e-mail, número de telefone ou nome de usuário que usava na conta. Não tente criar uma nova conta antes de concluir este processo.
- 2
Verifique seu e-mail original
O Instagram envia automaticamente um e-mail de segurança para o endereço original toda vez que dados da conta são alterados. Procure na caixa de entrada (e na pasta de spam) por mensagens com remetente [email protected]. Essa mensagem contém um link 'Revert this change' (Desfazer essa alteração) válido por tempo limitado — clique nele imediatamente se ainda estiver disponível.
- 3
Solicite um código de login pelo app
Abra o aplicativo do Instagram, toque em 'Esqueci a senha' e escolha receber um código via SMS ou e-mail no contato cadastrado originalmente. Se o hacker alterou esses dados, selecione a opção 'Preciso de mais ajuda' para acionar o suporte direto do Instagram, que pode solicitar confirmação de identidade.
- 4
Confirme identidade com selfie em vídeo
Quando o e-mail e o telefone foram alterados e nenhum código chega, o Instagram pode pedir uma selfie em vídeo curta (você virando o rosto em diferentes ângulos). Esse recurso, descrito na Central de Ajuda oficial (help.instagram.com), usa tecnologia de reconhecimento para comparar com fotos já publicadas na conta e confirmar que você é o proprietário legítimo.
- 5
Use a opção 'Obter mais ajuda' no formulário
Se as etapas anteriores não funcionarem, na tela de login toque em 'Esqueci a senha' → 'Obter mais ajuda' → preencha o formulário de suporte com seu e-mail original e uma foto de documento. O prazo de resposta do suporte da Meta é variável, mas manter o formulário preenchido corretamente acelera a análise.
- 6
Proteja imediatamente o e-mail vinculado
Antes de tentar qualquer outra coisa, altere a senha do e-mail que estava cadastrado no Instagram — especialmente se for Gmail, Outlook ou Yahoo. Ative a verificação em duas etapas (2FA) também nesse e-mail. Se o hacker controlou primeiro o e-mail, toda recuperação do Instagram pode ser inútil sem proteger o e-mail primeiro.
- 7
Ative o 2FA assim que recuperar o acesso
Após recuperar a conta, vá em Configurações → Segurança → Autenticação de dois fatores e ative usando um aplicativo autenticador (como Google Authenticator ou Authy), que é mais seguro do que SMS. Salve os códigos de backup gerados em local seguro e offline. A partir desse momento, nenhum login será possível sem o segundo fator.
- 8
Revise sessões ativas e aplicativos conectados
Com a conta recuperada, acesse Configurações → Segurança → Atividade de login e encerre todas as sessões suspeitas. Vá também em 'Aplicativos e sites' e revogue o acesso de qualquer integração desconhecida. Troque a senha por uma nova, exclusiva para o Instagram, com pelo menos 12 caracteres, misturando letras, números e símbolos.
O que NÃO fazer
- ✕Não pague a ninguém que prometa recuperar sua conta: golpistas se passam por 'especialistas em recuperação' e pedem valores entre R$200 e R$2.000 sem entregar nada — o único canal legítimo é o próprio Instagram (instagram.com/hacked e help.instagram.com).
- ✕Não clique em links recebidos por DM, WhatsApp ou e-mail que prometem 'reativar' ou 'desbloquear' sua conta: são phishing projetados para roubar também o e-mail ou o novo acesso que você acabou de criar.
- ✕Não crie uma conta nova com o mesmo nome de usuário antes de concluir a recuperação: isso pode dificultar o processo de suporte e confirmar para o Instagram que o nome não tem dono legítimo.
- ✕Não compartilhe códigos de SMS ou e-mail com ninguém, nem mesmo com quem diz ser do 'suporte do Instagram': a empresa nunca solicita esses códigos por mensagem direta ou telefone.
- ✕Não reutilize a mesma senha do Instagram em outros serviços: se um site onde você usa a mesma senha sofrer vazamento, todas as suas contas ficam expostas — use um gerenciador de senhas para criar e armazenar senhas únicas.
Por que os ataques a contas do Instagram acontecem e como os hackers entram
A grande maioria das invasões de contas no Instagram começa com phishing: o usuário recebe uma mensagem (por DM, WhatsApp ou e-mail) que imita uma comunicação oficial do Instagram — um aviso de 'violação de direitos autorais', 'verificação de conta', 'sorteio' ou 'parceria de marca'. O link leva a uma página falsa que replica o visual do Instagram e captura seu usuário e senha assim que você os digita.
A segunda causa mais comum é o reaproveitamento de senhas: quando você usa a mesma senha em vários serviços e um deles sofre um vazamento de dados, os criminosos testam automaticamente essa combinação no Instagram em uma técnica chamada credential stuffing. O CERT.br (cert.br/publicacoes/cartilha/) detalha essa e outras ameaças em sua Cartilha de Segurança para Internet, disponível gratuitamente.
Há ainda o roubo por aplicativos de terceiros não confiáveis — ferramentas que prometem mostrar 'quem te deixou de seguir', aumentar seguidores ou filtrar curtidas, mas que na prática pedem permissão de acesso à conta e as vendem ou as usam para spam. O Instagram proíbe esse tipo de serviço em seus Termos de Uso e não garante proteção para contas que concedem acesso a aplicativos não verificados.
O que acontece com os dados após a invasão e suas obrigações legais
Quando um hacker assume uma conta, ele normalmente persegue três objetivos: monetização imediata (golpes aplicados nos seus seguidores usando sua identidade), extorsão (ameaça de publicar conteúdo íntimo ou simplesmente devolver a conta mediante pagamento) ou revenda da conta em fóruns especializados, especialmente se ela tiver muitos seguidores ou nome de usuário valioso.
Se a sua conta foi usada para aplicar golpes em outras pessoas, você pode ser procurado pelas vítimas. Embora você não seja legalmente responsável por atos praticados por terceiros que invadiram seu perfil sem sua autorização, é recomendável publicar uma nota assim que recuperar o acesso, informando seguidores sobre o período de invasão e alertando para que ignorem qualquer solicitação feita nesse intervalo.
Quando há exposição de dados pessoais de clientes ou colaboradores — situação comum em perfis corporativos — a Lei Geral de Proteção de Dados (Lei nº 13.709/2018, LGPD) pode impor a obrigação de notificar a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados. A ANPD disponibiliza orientações em gov.br/anpd sobre como realizar essa comunicação. Empresas devem consultar seu encarregado de dados (DPO) imediatamente nesses casos.
Proteja também a sua empresa
Veja de graça o que já vazou do seu negócio.
O plano gratuito de Gestão de Ameaças da Decripte mapeia vulnerabilidades, monitora ameaças e mostra credenciais vazadas — sem cartão e sem equipe técnica.
Comece grátis agoraComo a verificação em duas etapas (2FA) funciona e por que o aplicativo autenticador é melhor que o SMS
A verificação em duas etapas exige, além da senha, um segundo fator para confirmar que é você quem está fazendo o login. No Instagram, é possível ativá-la em Configurações → Segurança → Autenticação de dois fatores. Há dois métodos principais: receber um código por SMS ou usar um aplicativo autenticador (como Google Authenticator, Microsoft Authenticator ou Authy) que gera códigos temporários de seis dígitos válidos por 30 segundos.
O SMS é vulnerável a um ataque chamado SIM swap (ou sequestro de chip), em que o criminoso convence a operadora de telefonia a transferir seu número para um chip que ele controla — passando então a receber todos os seus códigos de segurança. Esse golpe é documentado pelo CERT.br e tem crescido no Brasil nos últimos anos. O aplicativo autenticador não depende do chip do celular e, por isso, resiste ao SIM swap.
Ao ativar o 2FA, o Instagram oferece códigos de backup de uso único. Anote-os em papel ou em um local offline seguro: eles permitem recuperar o acesso ao 2FA caso você perca o celular. Sem esses códigos e sem o dispositivo autenticador, o processo de recuperação fica consideravelmente mais difícil.
Conta hackeada de empresa ou perfil profissional: o impacto vai além da imagem
Para uma pessoa física, perder o acesso ao Instagram é estressante e pode resultar em danos à reputação. Para uma empresa, o impacto é de outra magnitude. Perfis corporativos concentram relacionamento com clientes, campanhas de tráfego pago (com cartão de crédito vinculado ao Gerenciador de Negócios da Meta), contratos de influenciadores e, muitas vezes, são o principal canal de captação de leads.
Um ataque bem-sucedido pode resultar em anúncios fraudulentos cobrados no cartão da empresa, perda de histórico de anúncios e pixel de conversão, vazamento de dados de clientes armazenados em DMs, e uso da credibilidade da marca para golpes contra sua audiência. O tempo médio de recuperação de uma conta corporativa hackeada, sem um processo de segurança estabelecido, costuma ser de dias a semanas — período em que a empresa fica sem o canal.
Isso evidencia que a segurança de contas de redes sociais não é um assunto isolado de 'TI': faz parte de um programa mais amplo de gestão de ativos digitais e proteção de marca. Empresas que possuem um programa estruturado de cibersegurança — com inventário de ativos digitais, política de senhas, treinamento de colaboradores e monitoramento de exposição — detectam e respondem a esse tipo de incidente muito mais rapidamente, minimizando danos financeiros e reputacionais.
Como proteger sua conta do Instagram permanentemente após a recuperação
A primeira camada de proteção é uma senha forte e exclusiva para o Instagram. Use um gerenciador de senhas (como Bitwarden, 1Password ou o próprio gerenciador do Google/Apple) para criar e armazenar senhas longas e aleatórias — nunca as reutilize em outros serviços. Combine isso com o 2FA via aplicativo autenticador, conforme descrito acima.
Mantenha o e-mail vinculado ao Instagram igualmente protegido: ative 2FA nele também e use uma senha diferente da do Instagram. Considere criar um endereço de e-mail dedicado apenas a contas de redes sociais, separado do e-mail pessoal ou corporativo principal — assim, mesmo que esse endereço seja exposto em algum vazamento, o impacto é contido.
Revise periodicamente os aplicativos e sites conectados à sua conta (Configurações → Segurança → Aplicativos e sites) e remova qualquer integração que você não reconheça ou não use há mais de 30 dias. Fique atento a e-mails de [email protected] — são legítimos e informam sobre alterações na conta; qualquer e-mail desse tipo que você não tenha iniciado deve ser tratado como alerta imediato. Por fim, treine qualquer colaborador que tenha acesso ao perfil corporativo para reconhecer tentativas de phishing: a maioria dos ataques começa com um erro humano evitável.
Termos importantes
- Autenticação de dois fatores (2FA)
- Método de segurança que exige dois elementos independentes para confirmar a identidade do usuário: algo que você sabe (sua senha) e algo que você possui (um código gerado por aplicativo ou recebido por SMS). Mesmo que um atacante descubra sua senha, não conseguirá acessar a conta sem o segundo fator.
- Phishing
- Técnica de ataque em que o criminoso cria mensagens ou páginas falsas que imitam organizações confiáveis (como o Instagram ou a Meta) para enganar o usuário e fazê-lo digitar seus dados de acesso. O termo vem do inglês 'fishing' (pescaria) — o atacante lança uma isca e espera a vítima morder. A Cartilha de Segurança do CERT.br (cartilha.cert.br) traz orientações detalhadas sobre como identificar tentativas de phishing.
- SIM swap (sequestro de chip)
- Golpe em que o criminoso convence a operadora de telefonia a transferir o número de telefone da vítima para um chip sob seu controle. Com isso, ele passa a receber todos os SMS de verificação, inclusive os códigos de segurança do Instagram. Por esse motivo, aplicativos autenticadores são mais seguros do que o 2FA por SMS para proteger contas importantes.
- Credential stuffing
- Técnica automatizada em que atacantes utilizam listas de usuários e senhas vazados em outros serviços para tentar acessar contas em plataformas diferentes. Funciona porque muitas pessoas reutilizam a mesma senha em vários sites. A defesa mais eficaz é usar senhas únicas para cada serviço, preferencialmente geradas por um gerenciador de senhas.
Perguntas frequentes
O que fazer quando o Instagram foi hackeado e o e-mail foi trocado?
Acesse instagram.com/hacked e selecione 'Minha conta foi hackeada'. O Instagram permite iniciar a recuperação apenas com o nome de usuário, número de telefone original ou e-mail original — mesmo que o hacker já os tenha alterado. Se os dados foram todos substituídos, solicite suporte adicional no app em 'Esqueci a senha' → 'Preciso de mais ajuda' e envie uma selfie em vídeo para verificação de identidade, conforme descrito na Central de Ajuda oficial (help.instagram.com).
Quanto tempo demora para recuperar uma conta hackeada no Instagram?
Depende do método de recuperação. Se o e-mail original ainda está acessível, o link de reversão pode devolver o acesso em minutos. Se for necessário acionar o suporte da Meta com envio de documento ou selfie em vídeo, o prazo típico relatado por usuários é de 1 a 7 dias úteis. Quanto mais completas e precisas forem as informações fornecidas no formulário, mais rápida tende a ser a análise.
É possível recuperar conta do Instagram sem e-mail e sem número de telefone?
Sim, mas o processo é mais lento. O Instagram oferece a opção de verificação por selfie em vídeo, que compara sua imagem com fotos publicadas na conta, e também aceita envio de documento de identidade pelo formulário de suporte. Comece por instagram.com/hacked e selecione as opções que não exigem acesso ao e-mail ou telefone. Importante: esse processo só funciona para contas com fotos do rosto do proprietário — contas com apenas imagens de produtos ou logotipos têm menos opções de verificação biométrica.
O que fazer se alguém usou meu Instagram hackeado para aplicar golpes?
Assim que recuperar a conta, publique um aviso nos Stories e no feed informando o período em que a conta esteve fora do seu controle e alertando seguidores para ignorarem qualquer solicitação de dinheiro, PIX ou link recebido nesse intervalo. Se vítimas do golpe entrarem em contato, oriente-as a registrar Boletim de Ocorrência e a acionar o banco para contestar transferências. Você não é penalmente responsável pelos atos do invasor, mas a transparência protege sua reputação e ajuda as vítimas.
Como saber se meu Instagram foi hackeado?
Os sinais mais claros são: não conseguir fazer login com a senha correta; receber e-mail de [email protected] informando que dados foram alterados sem sua autorização; seguidores relatando mensagens ou publicações estranhas; e notificações de login de dispositivos ou localizações que você não reconhece. Em caso de dúvida, acesse Configurações → Segurança → Atividade de login para ver todas as sessões ativas.
Devo pagar alguém para recuperar minha conta do Instagram?
Não. Não existe serviço legítimo de terceiros capaz de recuperar uma conta do Instagram por você — o único caminho é pelos canais oficiais da Meta (instagram.com/hacked e help.instagram.com). Quem cobra por esse serviço está aplicando um golpe: pode coletar seus dados pessoais, pedir acesso ao seu e-mail e, além de não recuperar a conta, provocar novos danos. O serviço oficial do Instagram é gratuito.
Como ativar a verificação em duas etapas no Instagram?
Abra o Instagram, toque na foto do perfil no canto inferior direito, toque no menu (três linhas) → Configurações e privacidade → Segurança → Autenticação de dois fatores. Escolha 'Iniciar' e selecione o método: aplicativo autenticador (recomendado) ou SMS. Se escolher o aplicativo autenticador, instale o Google Authenticator ou Authy, escaneie o QR code exibido e insira o código gerado para confirmar. Salve os códigos de backup fornecidos ao final em local seguro.
Segurança para empresas
A Decripte protege empresas de todos os tamanhos — do MEI ao Enterprise.
Plataforma e serviços completos: gestão de ameaças, SOC 24x7, resposta a incidentes, pentest e conformidade. Comece de graça e veja o que já vazou do seu negócio.