FatGPS

Phishing pós-roubo: SMS falso da Apple que rouba o iCloud

Depois do roubo, ladrões mandam SMS e e-mail falsos do Buscar para roubar seu iCloud. Os padrões exatos para identificar e por que clicar no link mata o aparelho de vez.

Smartphone com brilho azul suave numa mesa de cabeceira de madeira à noite, relógio analógico desfocado ao lado, quarto em luz baixa
Nesta página 10 seções

Seu iPhone acabou de ser roubado. Aí, em menos de uma hora, chega um SMS: “Apple: seu iPhone 16 Pro foi localizado. Toque para verificar sua identidade e liberar o rastreamento.” Parece real. O remetente diz “Apple”. A prévia do link mostra algo que quase parece icloud.com.

Não toque. A mensagem é a segunda metade do roubo. O primeiro ladrão levou o celular. O segundo está tentando levar sua conta Apple.

Se seu celular foi roubado e você está recebendo mensagens ameaçadoras ou pedindo para desativar o Buscar, ligue para a Polícia Civil do seu estado e fale direto com o Suporte Apple. Não engaje com o remetente. Recursos: Polícia Civil 197, Suporte Apple em support.apple.com/pt-br, denúncia de crime cibernético na SaferNet Brasil em new.safernet.org.br.

Resumo

  • O Bloqueio de Ativação torna um iPhone roubado invendável sem suas credenciais Apple ID, e é por isso que ladrões aplicam phishing logo após o roubo.
  • As mensagens de phishing costumam chegar entre 30 e 120 minutos depois do roubo, no pico da sua janela de pânico.
  • Mensagens falsas se passam pela Apple, pela sua operadora e, eventualmente, por um “serviço de entrega”. Nenhuma é real.
  • Digitar suas credenciais em um site de phishing remove o Bloqueio de Ativação em minutos e leva o celular ao mercado de revenda no mesmo dia.
  • Chaves de segurança de hardware e passkeys são o único tipo de credencial que não pode ser phishada em tempo real.
  • SMS reais da Apple nunca contêm links para domínios fora de apple.com ou icloud.com, e nunca pedem sua senha por mensagem.
  • Se você já clicou, vá agora em appleid.apple.com, troque a senha e saia de todos os dispositivos.

Primeiros passos com celular roubado

Por que ladrões mandam phishing: a economia do Bloqueio de Ativação

O Bloqueio de Ativação é a razão. A Apple lançou o Bloqueio de Ativação em 2013 como parte do iOS 7, e em dois anos a taxa de roubo de iPhone caiu cerca de 40% nos Estados Unidos, segundo relatório de 2015 do Procurador-Geral de Nova York Eric Schneiderman citando estatísticas do NYPD. Um iPhone com Bloqueio de Ativação não pode ser configurado, restaurado ou usado sem o Apple ID e a senha originais.

Da perspectiva do ladrão, um iPhone travado vale muito pouco no mercado de revenda. No Brasil, um iPhone 15 Pro funcional e limpo é vendido por algo entre R$ 4.500 e R$ 6.000 no Mercado Livre ou OLX. Um com Bloqueio de Ativação ativo vai por R$ 400 a R$ 1.000 só como peças, porque tela, bateria e módulos da câmera têm valor, mas a placa lógica é inútil sem credenciais. Essa diferença, de R$ 4.000 a R$ 5.000 por aparelho, é o motor financeiro das campanhas de phishing pós-roubo.

A matemática é cruel. Um ladrão que rouba cinco iPhones por semana e convence um único dono a entregar as credenciais Apple ID ganha alguns milhares de reais a mais por um único SMS. A infraestrutura de phishing, registro de domínio mais um formulário HTML clone da Apple já pronto, custa menos de R$ 50 e pode ser reutilizada centenas de vezes. O Anti-Phishing Working Group (APWG) registrou 1,08 milhão de ataques únicos de phishing no terceiro trimestre de 2023, com ataques entregues por celular crescendo 34% ano sobre ano.

Como o Bloqueio de Ativação funciona

A linha do tempo de duas horas: a velocidade do phishing pós-roubo

As mensagens chegam rápido. Entre 30 e 120 minutos é a janela típica, segundo padrões consistentes em fóruns de suporte ao consumidor onde donos de iPhone roubado compartilham relatos. O timing é deliberado.

O ladrão pluga o celular num leitor ou usa um notebook descartável para checar se o Bloqueio de Ativação está ligado. Se está, passa ou vende o aparelho para um operador secundário especializado em colheita de credenciais. Esse operador tem um disparo de SMS pronto: basta inserir o número do dono (que ele já tem do chip ou da lista de contatos do aparelho, que leu antes do Bloqueio de Ativação travá-lo) e o modelo do celular.

A janela de 2 horas é o seu momento mais vulnerável. Você está abalado, conferindo cada aparelho que tem, desesperado por qualquer mensagem dizendo que o celular foi achado. Os atacantes sabem disso. A mensagem é desenhada para chegar enquanto seu julgamento está comprometido por adrenalina e esperança.

O padrão de timing nos relatos de fórum é consistente o bastante para sugerir coordenação profissional em vez de improviso. Isso é organizado, não oportunista.

Os cinco modelos de mensagem que ladrões usam

Toda mensagem falsa se encaixa em um de cinco modelos. Reconhecer o modelo é mais rápido do que analisar o link.

Modelo 1: “Seu iPhone foi encontrado”. A variante mais comum. O SMS ou e-mail alega que o Buscar localizou o aparelho e pede para confirmar a propriedade. Exemplo: “Apple: iPhone 16 Pro encontrado próximo a [local do roubo]. Confirme seu Apple ID para restaurar o acesso: [url-falsa].” A localização é fabricada ou é o local real do roubo, que o ladrão já conhece.

Modelo 2: ligação ou SMS falso do Suporte Apple. Um número com identificação “Apple” (spoofing de identificação de chamadas custa centavos) diz que sua conta tem atividade suspeita e direciona para uma página de verificação. O Procon e a SaferNet documentaram a personificação do Suporte Apple entre os principais golpes de suporte técnico no Brasil. O Suporte Apple real não inicia chamadas não solicitadas.

Modelo 3: “iCloud detectou acesso não autorizado”. Esse nem sequer menciona o roubo diretamente. Chega como e-mail com a identidade visual da Apple e alega que sua conta foi bloqueada por “atividade de login incomum”. O link leva a uma página de login que captura as credenciais. Esse modelo mira quem ainda não percebeu que o celular foi roubado ou recebeu o e-mail dias depois do evento.

Modelo 4: mensagem falsa da operadora. “Vivo: localizamos um aparelho registrado na sua conta. Clique para confirmar a recuperação.” Operadoras não localizam aparelhos. Elas bloqueiam IMEIs e congelam chips, mas a localização é tratada pelo sistema operacional, não pela rede da operadora. Qualquer mensagem de operadora alegando localizar um celular é falsa.

Modelo 5: golpe de recontato falso de entrega. Mais raro, mas documentado no Brasil e em outros países. Uma mensagem alega que uma encomenda vinculada ao endereço de entrega do celular foi interceptada. O link pede verificação de identidade. É phishing sem relação com a Apple, mas cronometrado para explorar a mesma janela de pânico. A SaferNet Brasil registrou alta no smishing de tema de entrega ao longo de 2023, com falsos Correios e falsa transportadora privada.

SMS real da Apple vs. falso: comparativo

SinalSMS real da AppleSMS falso
Domínio do remetente (e-mail)só @apple.com ou @id.apple.com@apple-support-id.com, @icloud-find.net, Gmail aleatório
Remetente (SMS)código curto ou identificação “Apple”número celular completo, +55 11 9XXXX-XXXX, ou “Apple” forjado
Domínio do linkapple.com ou icloud.com, nunca subdomínio com hifensicloud-find-iphone.com, applefindmy.tech, apple-id-verify.net
O que pedete direciona a abrir os Ajustes ou visitar uma página Apple conhecidapede Apple ID, senha, código 2FA ou pagamento
Linguagem de urgênciafactual, sem contagem regressiva”Aja agora ou seu aparelho será apagado em 24 horas”
Personalizaçãousa o nome do dispositivo conforme o Apple ID registrou”seu iPhone” genérico ou modelo errado
Gramática e espaçamentolimpo, padrão editorial Appleerros de espaçamento, capitalização inconsistente comum

A orientação oficial da Apple para reconhecer phishing está em support.apple.com/pt-br/102656. Salve nos favoritos agora, antes de precisar.

O que acontece se você clicar e entregar as credenciais

A sequência é rápida. Entre 5 e 10 minutos depois do envio das credenciais, um script automatizado (ou um operador observando) entra no seu Apple ID. Aqui está a ordem dos eventos.

Primeiro, o invasor entra em appleid.apple.com com seu e-mail e senha. Se você usa autenticação de dois fatores por SMS, o kit de phishing dele retransmite sua tentativa de login ao vivo para os servidores reais da Apple, dispara o SMS de 2FA para o seu número de backup (que agora é o celular roubado nas mãos dele) e digita o código antes que expire. Esse relé “adversary-in-the-middle” foi bem documentado por pesquisadores de segurança da Zscaler e da Cofense.

Segundo, ele navega até o Buscar no iCloud, seleciona seu aparelho e clica em Remover Este Dispositivo do Buscar. Isso encerra o Modo Perdido e remove o Bloqueio de Ativação. O aparelho reinicia como novo. Agora vale o preço cheio de revenda.

Terceiro, em poucas horas, o celular é restaurado, pareado com um novo Apple ID e vendido. Uma investigação da Trustonic de 2024 rastreou iPhones roubados nos Estados Unidos e no Reino Unido até um galpão em Shenzhen. Alguns são revendidos no mercado doméstico; outros embarcam para fora, onde a verificação de Bloqueio de Ativação é menos comum. No Brasil, o destino mais frequente é o Paraguai (Ciudad del Este) e mercados regionais que reciclam peças.

Quarto, e frequentemente esquecido: sua Fototeca do iCloud, iMessages com backup no iCloud, Notas, contatos e qualquer senha guardada no Chaveiro do iCloud agora estão acessíveis. Para a maioria das pessoas, essa é a perda mais danosa. O hardware do celular é substituível. A extração de dados é o segundo crime que nunca aparece nas estatísticas de roubo.

O que fazer se você já clicou

Aja rápido. A janela entre o envio das credenciais e a remoção do Bloqueio de Ativação é estreita, mas existe.

  1. Em qualquer aparelho, abra appleid.apple.com imediatamente. Entre com a sessão que ainda esteja válida ou use recuperação de conta se já trocaram a senha.
  2. Vá em “Entrar e Segurança” e selecione “Alterar Senha”. Use uma senha forte e única que você nunca usou em nenhum outro lugar.
  3. Em “Dispositivos”, remova todo aparelho que você não reconhecer. Remover um dispositivo o desconecta do seu Apple ID na hora e reativa o Bloqueio de Ativação se o Buscar estiver ligado.
  4. Ative uma chave de segurança de hardware ou passkey em “Autenticação de Dois Fatores” se sua conta ainda tem essas configurações acessíveis. Uma chave de hardware FIDO2 (YubiKey, Google Titan) não pode ser phishada porque é criptograficamente vinculada ao domínio apple.com. O relé de credenciais para qualquer outro domínio falha silenciosamente.
  5. Confira a Fototeca do iCloud, Notas e Chaveiro atrás de sinais de acesso: logs de download não estão disponíveis ao consumidor, mas se você vir atividade recente que não executou nas configurações do iCloud, trate como vazamento de dados.
  6. Denuncie na SaferNet Brasil em new.safernet.org.br. É como a entidade que atua junto ao Ministério Público Federal constrói dados de padrão sobre quadrilhas organizadas de phishing.
  7. Registre B.O. complementar de estelionato (Art. 171 do Código Penal) na delegacia online do seu estado citando a tentativa de phishing como crime conexo ao roubo. Em São Paulo: dec.sp.gov.br. No Rio: delegaciaonline.rj.gov.br.
  8. Ligue para o Suporte Apple no 0800 761 0867 e explique que pode ter enviado credenciais para um site de phishing. Eles podem aplicar bloqueio de segurança na conta e escalar para o time de Trust and Safety.
  9. Avise sua operadora (Vivo: *8486 ou 1058, Claro: *1052 ou 10621, TIM: *144, Oi: *144 ou 1057). Peça bloqueio do chip e emissão de novo chip com o mesmo número para evitar ataque de SIM swap em cima do phishing.
  10. Troque toda senha guardada no Chaveiro do iCloud que você usa para contas bancárias, e-mail ou redes sociais. Trate o chaveiro como comprometido.

Por que a Apple diz para NÃO apagar o celular na hora

Isso surpreende a maioria. O instinto depois do roubo é apagar o aparelho remotamente para que ninguém acesse seus dados. Esse instinto está errado na maioria dos casos, e a própria orientação da Apple em support.apple.com/pt-br/HT201441 reflete isso.

Aqui está o porquê. Quando o Modo Perdido está ativo e o Bloqueio de Ativação está ligado, o celular é uma caixa trancada que transmite a localização ao Buscar e não pode ser configurada sem suas credenciais. Apagar via iCloud o remove do Buscar para sempre, silencia o farol de localização e entrega ao atacante um aparelho limpo, pronto para ativar com um novo Apple ID. Você fez o trabalho dele.

Mantenha o Modo Perdido ativo. A corrente do Bloqueio de Ativação é a sua alavancagem. A Polícia Civil com mandado de recuperação e um pino do Buscar ao vivo consegue resgatar o aparelho. As Delegacias Especializadas em Repressão a Crimes Cibernéticos (DRCC no Rio, DEIC em São Paulo) acompanham casos com prova de localização ao vivo. Essa corrente quebra no segundo em que você aperta “Apagar”.

A única exceção: se o aparelho contém dados tão sensíveis (prontuários médicos, comunicações profissionais sigilosas, credenciais financeiras) que o risco de exfiltração supera o valor de recuperação, apague remotamente. Para a maioria dos iPhones de consumidor com apps protegidos por Face ID mas sem dados incomuns, o Modo Perdido é a melhor escolha.

Padrões regionais: onde o phishing pós-roubo bate mais forte

O phishing pós-roubo de iPhone não é distribuído por igual. Quatro mercados dominam o padrão.

Brasil é o segundo maior mercado mundial de phishing de celular roubado. O país registrou cerca de 1 milhão de roubos e furtos de aparelhos celulares em 2024 segundo o Anuário Brasileiro de Segurança Pública do FBSP (Fórum Brasileiro de Segurança Pública). O Programa Celular Seguro (celularseguro.mj.gov.br) do Ministério da Justiça, lançado em dezembro de 2023, foi criado especificamente para responder à fraude pós-roubo. Mensagens de phishing brasileiras frequentemente se passam pelo próprio Programa, criando uma camada particularmente cínica de engano. Também é comum a personificação de bancos (falsa Caixa, falso Banco do Brasil, falso Itaú, falso Nubank) imediatamente após o roubo, porque o ladrão tem acesso aos contatos e sabe em qual banco a vítima provavelmente tem conta.

Índia gera o maior volume reportado de SMS de phishing pós-roubo para donos ocidentais. Padrão comum em fóruns de suporte: um iPhone roubado em viagem pelos Estados Unidos ou Reino Unido chega à Índia em poucos dias. O dono recebe mensagens de números +91 alegando ser “Apple Support India”. Frequentemente têm marcadores gramaticais consistentes com tradução automática.

Reino Unido registra alto volume de roubo de iPhone em Londres (especialmente nas zonas central e leste), e o phishing pós-roubo acompanha os aparelhos roubados até os polos de reexportação. O NCSC documentou alta de 73% no phishing direcionado a celular ao longo de 2023.

China é primariamente mercado de destino em vez de origem de phishing para donos ocidentais. Os atacados de Shenzhen e Guangzhou aceitam aparelhos com Bloqueio de Ativação desfeito com prêmio significativo sobre os travados, o que sustenta o incentivo econômico para o roubo de credenciais.

Onde os celulares vão depois do roubo

Se você acabou de receber uma mensagem suspeita do Buscar: 8 passos

Faça nesta ordem, antes de qualquer outra coisa.

  1. Não clique no link. Nem para inspecionar. No celular, uma URL maliciosa pode disparar uma cadeia de redirecionamento que começa o carregamento da página de captura de credenciais antes de você ver o domínio.
  2. Faça screenshot da mensagem com as informações completas do remetente visíveis. Vai precisar disso para o B.O. e a denúncia na SaferNet.
  3. Abra um aparelho separado (notebook, tablet, celular emprestado) e vá direto em icloud.com/find digitando a URL. Não siga nenhum link da mensagem.
  4. Confira se o Modo Perdido continua ativo. Se o aparelho ainda aparece como Perdido no mapa real do iCloud, o Bloqueio de Ativação está funcionando. O phishing ainda não venceu.
  5. Não desative o Buscar nem o Modo Perdido por motivo nenhum que uma mensagem instrua. Esse é o objetivo central da tentativa de phishing.
  6. Confira seu Apple ID em busca de sessões não reconhecidas em appleid.apple.com na seção “Dispositivos”. Se vir um aparelho que não reconhece adicionado recentemente, remova na hora.
  7. Denuncie a mensagem de phishing para a Apple encaminhando para reportphishing@apple.com (e-mail) ou registrando na SaferNet em new.safernet.org.br (SMS).
  8. Ligue para sua operadora para confirmar que seu chip não foi clonado. Ataques de SIM swap às vezes seguem o phishing de Bloqueio de Ativação quando a tentativa principal falha, porque um chip clonado consegue interceptar o código 2FA enviado para o seu número.

Como rastrear por IMEI para prova policial

O que diz a lei brasileira

O roubo de aparelho e o phishing subsequente são crimes conexos no Direito Penal brasileiro. Art. 157 do Código Penal trata o roubo. Art. 171 do CP tipifica o estelionato, que cobre a fraude por phishing. Art. 154-A do CP (Lei Carolina Dieckmann, Lei 12.737/2012) tipifica a invasão de dispositivo informático com obtenção de dados ou conteúdo sem autorização, com pena de 1 a 4 anos. O Marco Civil da Internet (Lei 12.965/2014) obriga provedores a guardar logs de acesso por seis meses, o que serve à investigação. A LGPD (Lei 13.709/2018), fiscalizada pela ANPD (Autoridade Nacional de Proteção de Dados), trata do tratamento de dados pessoais e dá base para responsabilização do agressor.

Para regulamentação técnica de bloqueio de IMEI, a ANATEL mantém o CEMI (Cadastro Especial de Estações Móveis Impedidas). Para queixa de consumo contra fraude bancária ou de operadora pós-roubo, o Procon do seu estado é o caminho.


A cartilha de phishing de iPhone roubado não mudou de forma substancial desde o lançamento do Bloqueio de Ativação, porque a economia não mudou. Um iPhone destravado vale dez vezes um travado. O phishing é barato. O pânico é confiável. A defesa é simples mas exige conhecer a cartilha antes que rode em cima de você: nunca toque em um link em uma mensagem sobre seu celular roubado, vá direto em icloud.com, mantenha o Modo Perdido ativo e use uma chave de segurança de hardware se possível. O Bloqueio de Ativação cumpre o trabalho enquanto você não o desativa.

Perguntas e respostas

O que os leitores costumam perguntar

7 perguntas · atualizado em jun. de 2026

Ladrões conseguem mesmo remover o Bloqueio de Ativação sem minha senha?
Não. O Bloqueio de Ativação não pode ser burlado sem o Apple ID e a senha que o ativaram. É exatamente por isso que ladrões mandam mensagens de phishing: precisam que você entregue as credenciais voluntariamente. Qualquer serviço, site ou pessoa alegando remover o Bloqueio de Ativação sem o seu Apple ID está fazendo troca de hardware não autorizada ou é golpe. O Suporte Apple em support.apple.com/pt-br é o único caminho legítimo.
Como saber se um SMS é de verdade da Apple ou falso?
Os SMS reais da Apple vêm de um código curto ou do remetente 'Apple', nunca de um número de celular completo. Nunca trazem link clicável para domínio que não seja apple.com ou icloud.com. Nunca pedem senha, Apple ID, código de dois fatores ou dados de pagamento por mensagem. Se a URL tem hifens, palavras extras ou um domínio com código de país diferente do que a Apple usa na sua região, é falso.
Cliquei no link e digitei minha senha. E agora?
Em poucos minutos, o invasor pode entrar no seu Apple ID, remover o Bloqueio de Ativação, marcar o aparelho como não mais perdido e começar a vender no mercado paralelo. Pode também baixar a Fototeca do iCloud e acessar o backup do iMessage. Aja nos primeiros 10 minutos: vá em appleid.apple.com, faça login e em 'Entrar e Segurança' selecione 'Alterar Senha'. Remova dispositivos que não reconheça. Depois denuncie na SaferNet Brasil em new.safernet.org.br e ligue para o Suporte Apple.
Por que a Apple diz para NÃO apagar o celular depois do roubo?
Apagar o aparelho via iCloud o remove do rastreamento do Buscar para sempre. Enquanto o Bloqueio de Ativação está ligado e o Modo Perdido ativo, o celular é praticamente inútil para o ladrão. Apagar entrega a ele um aparelho limpo e pronto para revenda. A única razão para apagar remotamente é quando o aparelho não pode ser recuperado e contém dados sensíveis o bastante para o risco de exfiltração superar a recuperação. Deixe o Bloqueio de Ativação fazer o trabalho primeiro.
O que é 'smishing' e por que o contexto pós-roubo é ideal para ele?
Smishing é phishing entregue por SMS. Funciona combinando urgência, estado emocional e personificação convincente do remetente. Depois do roubo, você está em pânico, conferindo cada mensagem, esperando boa notícia. Os ladrões exploram exatamente essa janela. O Anti-Phishing Working Group registrou 1,08 milhão de ataques únicos de phishing só no terceiro trimestre de 2023, com ataques entregues por celular crescendo mais rápido que os por e-mail. Quem acabou de ter o celular roubado é o alvo de maior conversão.
Consigo rastrear a localização do ladrão respondendo ao link de phishing?
Não, e tentar é perigoso. A infraestrutura de phishing é desenhada para coletar credenciais, não revelar a localização do atacante. Endereços IP visíveis em logs de servidor são quase sempre VPNs, nós de saída Tor ou intermediários comprometidos em um terceiro país. Passe qualquer evidência (screenshots da mensagem, URLs, números de remetente) para a Polícia Civil do seu estado e para a SaferNet Brasil em new.safernet.org.br, que têm ferramentas legais para quebrar o sigilo via operadora.
Autenticação de dois fatores me protege se eu digitar a senha em um site de phishing?
A autenticação de dois fatores padrão por SMS oferece proteção parcial porque o invasor precisa do código de uso único em tempo real. Muitos kits de phishing usam técnica de 'relé em tempo real': passam suas credenciais ao vivo para a página de login real da Apple, disparam o SMS de 2FA e em seguida pedem o código na página falsa. A única credencial resistente a esse ataque é uma chave de segurança de hardware ou passkey, porque as duas são vinculadas ao domínio e não podem ser repetidas em outro site.