מהי הונאת פישינג (דיוג) ומדוע היא מסוכנת לעסק שלך?
הודעת SMS על חבילה שממתינה לכם בדואר תמורת "עמלת מכס" קטנה? מייל דחוף מהבנק על "פעילות חשודה" בחשבון? לפני שאתם ממהרים ללחוץ, עצרו לרגע. סביר להניח שאתם המטרה של הונאת פישינג (Phishing), או בעברית, דִּיּוּג. זוהי שיטת תקיפה פשוטה ויעילה, שבה התוקף מתחזה לגורם לגיטימי (כמו בנק, חברת שליחויות או רשות ממשלתית) כדי לגרום לכם למסור מידע רגיש, סיסמאות, פרטי אשראי או פרטים אישיים.
התופעה נמצאת בנסיקה מדאיגה. בשנת 2025, מערך הסייבר הלאומי חסם 31,657 תשתיות פישינג (כמו קישורים ואתרים מתחזים), עלייה של פי 7 מהשנה הקודמת. במקביל, מוקד 119 של המערך קיבל מהציבור דיווחים על כ-13,780 אירועי פישינג במהלך השנה. הנזק הכלכלי עצום; לשם המחשה, דוח פשעי האינטרנט (IC3) של ה-FBI לשנת 2025 הצביע על נזקים של 215.8 מיליון דולר שיוחסו ישירות לפישינג, אך סך הנזקים מפשעי סייבר שונים שמקורם במייל (כולל התחזות עסקית) הגיע ליותר מ-4 מיליארד דולר באותה שנה. התוקפים מתחזים למותגים מוכרים כדי לזכות באמון שלנו. בישראל, המותג שהתחזו אליו הכי הרבה ב-2025 היה 'כביש 6', עם 19.5% מניסיונות הפישינג. אחריו ברשימה נמצאים בנקים וחברות אשראי (12%), דואר ישראל (10%), רשות המסים (3.25%) ואל על (3%). בעולם, מיקרוסופט ממשיכה להוביל את רשימת המותגים המתחזים גם ברבעון הראשון של 2026, עם 22% מניסיונות הפישינג, לפי מחקר של Check Point Research.
איך מזהים הודעת פישינג? סימני האזהרה שחייבים להכיר
החדשות הטובות הן שרוב הודעות הפישינג חולקות מאפיינים דומים. בעזרת תשומת לב לכמה פרטים, אפשר לזהות את ההונאה ולהימנע מנזק. ריכזנו עבורכם את סימני האזהרה הנפוצים ביותר בטבלה, עם דוגמאות עדכניות מהשטח.
| סימן אזהרה | דוגמה (התחזות לדואר ישראל) | דוגמה (התחזות לביטוח לאומי) | מה לעשות? |
|---|---|---|---|
| יצירת לחץ ודחיפות | "החבילה שלך תוחזר לשולח תוך 24 שעות. עליך לשלם 6.50 ש"ח עמלת מכס כעת". | "לתשלום חובך בסך 345.20 ש"ח ולמניעת עיקול, יש להסדיר את התשלום מיידית". | לעצור ולא לפעול. גופים רשמיים לרוב לא משתמשים בטקטיקות הפחדה בהודעות טקסט. |
| קישור (לינק) חשוד | הקישור מוביל לכתובת כמו `israel-post.xyz` או `bit.ly/DPost` במקום לאתר הרשמי. | הקישור מפנה לדף שנראה כמו האתר הרשמי, אך כתובתו היא `btl-gov.info` ולא `btl.gov.il`. | לא ללחוץ. יש להיכנס לאתר הרשמי של הגוף דרך חיפוש בגוגל או הקלדת הכתובת המלאה בדפדפן. |
| שגיאות כתיב וניסוח מוזר | "אנו נשלח אותה תוך 24 שעות. (אנא השב ץ, ואז צא מהודעת הטקסט…)". | "החשבון שלכם הוגבל. צריך לאשר את זהותכם כדי להסיר המגבלה". | להתעלם ולמחוק. הודעות רשמיות עוברות הגהה ואינן מכילות שגיאות כאלה. |
| בקשת פרטים אישיים/פיננסיים | האתר המתחזה מבקש להזין מספר תעודת זהות, מספר טלפון ופרטי כרטיס אשראי מלאים. | "לאימות זכאותך לקצבה, אנא הזן את פרטי האשראי שלך לאימות". | לעולם לא למסור סיסמאות, קוד אימות או פרטי כרטיס אשראי מלאים דרך קישור שהתקבל בהודעה. |
איך בודקים לאן הקישור באמת מוביל לפני שלוחצים?
הכלל החשוב ביותר הוא לא ללחוץ על קישור באופן אוטומטי. תמיד אפשר לבדוק את היעד האמיתי שלו בכמה צעדים פשוטים:
- במחשב: רחפו עם סמן העכבר מעל הקישור (מבלי ללחוץ). בפינה השמאלית התחתונה של הדפדפן תופיע הכתובת המלאה שאליה הקישור מוביל.
- בטלפון חכם: לחצו לחיצה ארוכה על הקישור (היזהרו לא להקליק בטעות). ייפתח תפריט שיציג את כתובת ה-URL המלאה.
בבדיקה, שימו לב אם שם המתחם (Domain) תואם לגוף הרשמי. למשל, כתובת של ביטוח לאומי תסתיים תמיד ב-gov.il, ולא ב-info, org או xyz.
נפלתם בפח? 4 צעדים מיידיים שיש לבצע
גם המנוסים והזהירים ביותר עלולים ליפול. אם לחצתם על קישור חשוד ומסרתם פרטים, חשוב לפעול מהר כדי למזער נזקים:
- הקפיאו כרטיסים וצרו קשר עם הבנק: הודיעו מיד לחברת האשראי ולבנק שלכם על האירוע. הם יבטלו את הכרטיס וינחו אתכם לגבי פעולות חשודות בחשבון.
- שנו סיסמאות: אם הזנתם סיסמה באתר המתחזה, שנו אותה מיד בכל שירות אחר שבו אתם משתמשים באותה סיסמה.
- דווחו לרשויות: צרו קשר עם מוקד 119 של מערך הסייבר הלאומי. הדיווח שלכם חיוני למניעת הפגיעה באחרים.
- בדקו את המערכות שלכם: הרשת העסקית שלכם עלולה להיות בסכנה. זה הזמן לבצע סריקת וירוסים ולוודא שלא הותקנה תוכנה זדונית. אם אינכם בטוחים כיצד לעשות זאת, שירותי אבטחת סייבר מקצועיים יכולים לסייע באיתור ובנטרול האיום.
מה חשוב לזכור
הגנה מפני פישינג היא שילוב של מודעות וכלים טכנולוגיים. הנה כמה נקודות מפתח:
- ספקנות היא כלי העבודה הטוב ביותר: אל תאמינו אוטומטית לכל הודעה שיוצרת לחץ או דחיפות.
- בדקו תמיד את כתובת השולח והקישור: זה לוקח שתי שניות ויכול לחסוך נזק של אלפי שקלים.
- לעולם אל תמסרו פרטים רגישים דרך קישור: גופים רשמיים לא יבקשו סיסמה או פרטי אשראי מלאים במייל או SMS.
- הגנה פרואקטיבית היא המפתח: השקעה בפתרונות אינטגרציית טכנולוגיה ואבטחה מקטינה משמעותית את הסיכון שהעובדים שלכם יפלו קורבן להונאה.
שאלות נפוצות
למי מדווחים על הודעת פישינג שקיבלתי?
יש לדווח למרכז המבצעי של מערך הסייבר הלאומי בטלפון 119 או דרך האתר שלהם. דיווח זה מסייע למערך לחסום את האתרים המתחזים ולהזהיר את הציבור.
האם ייתכן שדואר ישראל או הביטוח הלאומי ישלחו לי הודעת SMS עם קישור?
כן, גופים רשמיים שולחים לעיתים הודעות עם קישורים, אך תמיד חשוב לבדוק את זהות השולח (למשל, BituahLeumi) ולוודא שהקישור מוביל לאתר הרשמי עם סיומת gov.il. במקרה של ספק, תמיד עדיף להיכנס לאתר הרשמי באופן עצמאי ולא דרך הקישור.
מה ההבדל בין פישינג (Phishing) לסמישינג (Smishing)?
פישינג הוא המונח הכללי לניסיון הונאה וגניבת מידע באמצעות התחזות. סמישינג (SMS + Phishing) הוא סוג ספציפי של פישינג המבוצע באמצעות הודעות טקסט (SMS) או אפליקציות מסרים כמו וואטסאפ.
האם בנק או חברת אשראי יבקשו ממני אי פעם פרטים אישיים במייל או בטלפון?
בנקים וחברות אשראי לעולם לא יבקשו מכם למסור סיסמה מלאה, קוד אימות שנשלח אליכם ב-SMS, או את כל פרטי כרטיס האשראי (כולל CVV) בשיחה יזומה, במייל או בהודעת טקסט. אם קיבלתם פנייה כזו, נתקו והתקשרו בעצמכם למוקד השירות המוכר של החברה.
מקורות
רוצים לחבר אוטומציה או AI לעסק שלכם בלי כאב ראש? דברו איתנו.
