דלגו לתוכן
אבטחה לעסק1 בנובמבר 20259 דק׳ קריאה

הונאת מנכ״ל והחלפת חשבונית (BEC): ההונאה שעולה לעסקים מיליונים

בלי נוזקה, בלי קישור חשוד — רק מייל אחד שנראה נכון לחלוטין, וכסף שכבר לא חוזר. כך עובדת הונאת ה-BEC שלב אחרי שלב, למה היא מנצחת את כל מערכי הסינון, ואיך נוהל אימות של עמוד אחד עוצר אותה. כולל מה לעשות בשעה הראשונה אחרי העברה שגויה.

ר.ש
רותם שיינס · מנכ״ל ובעלים
מומחה אבטחת מידע ופרטיות · Cybertis · מעל 10 שנות ניסיון

יום חמישי, 16:40. מנהלת הכספים מקבלת מייל מהספק הקבוע — אותו שם, אותה חתימה, המשך לשרשור התכתבות אמיתי על החשבונית החודשית: ״עדכנו חשבון בנק בעקבות מעבר סניף, נא להעביר את התשלום לחשבון החדש״. הסכום מוכר, העיתוי הגיוני, הטון מוכר. היא מעדכנת את פרטי המוטב ומעבירה 187 אלף ש״ח. הכסף מגיע — אבל לא לספק. שלושה שבועות אחר כך, כשהספק מתקשר לשאול איפה התשלום, מתברר שמישהו ישב בתוך תיבת המייל חודשיים, קרא הכול, וחיכה בדיוק לרגע הזה. אין נוזקה, אין קובץ נגוע, אין ״קישור חשוד״. רק מייל אחד שנראה נכון לחלוטין — וכסף שכבר לא חוזר.

מה זה BEC?

BEC — Business Email Compromise, ובעברית: הונאת דוא״ל עסקי — היא משפחת הונאות שבה תוקף מתחזה לגורם מהימן בשרשרת התשלומים של העסק (מנכ״ל, ספק, עובד) כדי לגרום להעברה כספית לחשבון שבשליטתו. לפי דוח מרכז תלונות פשעי האינטרנט של ה-FBI (IC3) לשנת 2025, הונאות BEC גרמו לנזק מדווח של יותר מ-3 מיליארד דולר בארה״ב בשנה אחת — כ-123 אלף דולר בממוצע לאירוע. זו אחת ההונאות הרווחיות בעולם, והיא פוגעת בעסקים בכל גודל — גם בישראל.

איך זה עובד: אנטומיה של מתקפת BEC

הכוח של BEC הוא בהכנה. זו לא הודעת ספאם שנורית למיליון כתובות — זו מתקפה ממוקדת שנבנית לאורך שבועות, ולכל שלב יש תפקיד:

  1. דריסת רגל. התוקף משיג גישה לתיבת מייל של מישהו בשרשרת — אצלכם או אצל הספק — לרוב דרך דף פישינג שגונב סיסמה או סיסמה שדלפה. חלופה נפוצה: רישום דומיין דומה (lookalike) — acrne-ltd.co.il במקום acme-ltd.co.il — שנראה זהה במבט חטוף בטלפון.
  2. תצפית שקטה. התוקף לא עושה כלום שמרעיש. הוא קורא התכתבויות, לומד מי מאשר תשלומים, איך נראית חשבונית אצלכם, מתי משלמים לספקים ובאיזה נוסח כותבים. לעיתים הוא מגדיר חוק העברה (Forwarding Rule) בתיבה, כך שעותק מכל מייל מגיע אליו — גם אחרי שהסיסמה תוחלף.
  3. הכנת התשתית. דומיין מתחזה, תיבת מייל בשם הנכון, חשבון בנק ״ממולא״ (של בלדר כספים או חברת קש) שאליו יגיע הכסף — ומשם ימשיך הלאה תוך שעות.
  4. המכה — בתזמון מושלם. בדיוק כשחשבונית אמיתית אמורה להישלח, מגיע המייל: אותה חשבונית, פרטי בנק אחרים. או: מייל ״דחוף וסודי״ מהמנכ״ל ביום שבו הוא באמת בחו״ל. ההקשר מושלם כי הוא נגנב מהתכתבות אמיתית.
  5. טשטוש עקבות. אחרי ההעברה, התוקף מוחק את ההתכתבות ומגדיר חוקים שמסתירים תשובות מהצד השני — כדי שהגילוי יתעכב כמה שיותר. ככל שעובר זמן, הסיכוי להחזיר את הכסף צונח.
ציר זמן של מתקפת BEC בחמישה שלבים: דריסת רגל, תצפית, הכנת תשתית, המכה וטשטוש עקבות
כך נבנית מתקפת BEC — שבועות של הכנה בשביל מייל אחד. מקור: FBI IC3, ניתוח Cybertis

שלוש הווריאציות שתפגשו בשטח

וריאציהאיך זה נראהלמה זה עובד
הונאת מנכ״ל (CEO Fraud)״מייל מהמנכ״ל״ לגורם כספים: העברה דחופה וחסויה, לרוב לקראת סוף יום או סוף שבועסמכות + דחיפות + סודיות. אף אחד לא רוצה לעכב את המנכ״ל, ו״חסוי״ מונע בדיקה עם עמיתים
החלפת חשבונית ספקחשבונית אמיתית או ״עדכון פרטי חשבון בנק״ מכתובת הספק או מדומיין דומההסכום, העיתוי וההקשר אמיתיים — רק המוטב שונה. אין שום דבר ״חשוד״ במייל
הסטת שכר (Payroll Diversion)״עובד״ פונה למשאבי אנוש ומבקש לעדכן את חשבון הבנק להפקדת המשכורתבקשה שגרתית ולגיטימית לחלוטין; הגילוי רק בתלוש הבא — חודש שלם אחרי

למה זה מנצח את הטכנולוגיה

מערכי ההגנה הקלאסיים — אנטי-וירוס, סינון דואר, EDR — בנויים לזהות דברים זדוניים: קבצים נגועים, קישורים לאתרי נוזקה, חתימות מוכרות. במתקפת BEC קלאסית אין שום דבר כזה. אין קובץ מצורף זדוני, אין קישור נגוע — רק טקסט לגיטימי לחלוטין שמבקש פעולה לגיטימית לחלוטין: העברה בנקאית. כשהמייל נשלח מתיבה אמיתית שנפרצה, הוא גם עובר את כל בדיקות האימות בהצטיינות.

המספרים מספרים את אותו סיפור: לפי דוח Verizon DBIR 2026, הגורם האנושי היה מעורב ב-62% מאירועי האבטחה שנחקרו. ולפי נתוני ה-IC3 ל-2025, הונאות BEC היו רק כ-2.5% מהתלונות — אבל כמעט 15% מסך הנזק הכספי המדווח. זו לא מתקפה על השרתים שלכם; זו מתקפה על תהליך העבודה שלכם. ולכן גם ההגנה האפקטיבית היא קודם כול תהליכית, לא טכנולוגית.

השלב הבא: AI ודיפ-פייק קולי

אם פעם אפשר היה לזהות מיילים עוינים לפי עברית עילגת — העידן הזה נגמר. מודלי שפה מייצרים מיילים בעברית עסקית מושלמת, בנוסח שמחקה את סגנון הכתיבה של האדם שמתחזים אליו. דוח ה-IC3 ל-2025 מנה יותר מ-22 אלף תלונות עם רכיב AI מזוהה, בנזק של כ-893 מיליון דולר. והחזית הבאה כבר כאן: שיחת טלפון ״מהמנכ״ל״ בקול שלו — דיפ-פייק קולי שמאשר טלפונית את ההעברה שהתבקשה במייל. בנק ישראל מנה זיופי אודיו ווידאו בין שיטות ההונאה הבולטות כבר ב-2024, וצפה גידול משמעותי בהונאות מבוססות AI ב-2025. המשמעות המעשית: ״שמעתי את הקול שלו בטלפון״ כבר אינו אימות.

ההגנה שבאמת עובדת: אימות מחוץ לערוץ

החדשות הטובות: ההגנה האפקטיבית ביותר נגד BEC לא עולה כסף. היא נוהל כתוב אחד, פשוט, שאין ממנו חריגים: כל שינוי בפרטי חשבון בנק וכל בקשת תשלום חריגה מאומתים בערוץ אחר — לא בערוץ שבו הגיעה הבקשה. אם הבקשה הגיעה במייל, מתקשרים. ולא למספר שכתוב במייל (הוא של התוקף) — אלא למספר שכבר שמור אצלכם במערכת או בחוזה.

  • נוהל כתוב ומחייב. עמוד אחד: מתי חובה לאמת (כל עדכון פרטי בנק, כל מוטב חדש, כל תשלום מעל סף), איך מאמתים (שיחה למספר מוכר מראש), ומי מוסמך לאשר. נוהל שקיים רק ״בראש״ נשבר בדיוק ברגע הלחץ.
  • Callback למספר מוכר. האימות הוא תמיד יזום על ידכם, לערוץ שהיה קיים לפני הבקשה. מספר טלפון שמופיע בחתימת המייל החשוד — פסול מראש.
  • אישור כפול מעל סף. מעל סכום שתקבעו (למשל 50 אלף ש״ח), שני מורשים נפרדים מאשרים את ההעברה. עין שנייה שוברת את מנגנון הלחץ שההונאה בנויה עליו.
  • חסינות מדחיפות. קבעו מראש: בקשה ״דחופה וסודית״ שמנסה לעקוף את הנוהל היא בעצמה דגל אדום שמחייב אימות — לא סיבה לוותר עליו. מנכ״ל אמיתי יעדיף עיכוב של שעה על אובדן של מאות אלפים.
כרטיס נוהל אימות תשלומים: ארבעה כללים לאימות כל שינוי בפרטי בנק ותשלום חריג
נוהל אימות תשלומים — עמוד אחד שעוצר את רוב מתקפות ה-BEC. מקור: Cybertis
מהשטח: תרגלו את הסירוב

בליווי ארגונים אנחנו רואים שוב ושוב שהנוהל קיים — אבל נשבר מול סמכות. מנהלת חשבונות שמקבלת ״מייל מהמנכ״ל״ מתקשה להגיד ״אני חייבת לאמת לפי הנוהל״. הפתרון: המנכ״ל עצמו מודיע לכל גורמי הכספים, בכתב, שהוא מצפה שיאמתו כל בקשה שלו — ושלעולם לא יכעס על עיכוב. משפט אחד כזה מההנהלה שווה יותר מכל מערכת סינון.

השכבה הטכנית: לסגור את דלת הכניסה

הנוהל עוצר את ההעברה; השכבה הטכנית מקשה על התוקף להגיע בכלל לעמדת הזינוק — תיבת המייל שלכם:

  • MFA על כל תיבות המייל — בלי יוצאים מהכלל. רוב מתקפות ה-BEC מתחילות בהשתלטות על תיבה, ולפי מחקר של Microsoft, אימות רב-שלבי חוסם את הרוב המכריע של ניסיונות ההשתלטות על חשבונות. המדריך המלא שלנו ל-MFA בעסק כאן.
  • ביקורת חוקי תיבה (Mailbox Rules). חוק העברה חיצוני שקט הוא חתימת ה-BEC הקלאסית. בדקו היום, בכל התיבות, אם קיימים חוקים שמעבירים דואר לכתובות חיצוניות או מוחקים הודעות — והגדירו התראה אוטומטית על יצירת חוק חדש (זמין גם ב-Microsoft 365 וגם ב-Google Workspace).
  • SPF, DKIM ו-DMARC — בעברית פשוטה. שלוש רשומות בהגדרות הדומיין שאומרות לעולם אילו שרתים מורשים לשלוח מייל בשם שלכם (SPF), חותמות כל מייל יוצא בחתימה דיגיטלית (DKIM), ומורות לשרתים בעולם מה לעשות עם מייל שנכשל בבדיקות — לדחות אותו (DMARC). זה לא מגן עליכם מקבלת זיופים, אבל מונע מתוקפים להתחזות אליכם מול הלקוחות והספקים שלכם. הגדרה חד-פעמית של שעות בודדות.
  • התראה על דומיינים דומים במיילים נכנסים. ברוב מערכות הדואר הארגוניות אפשר לסמן באנר אזהרה על מייל חיצוני, ובחלקן — להתריע על דומיין שדומה לשלכם או לספקים מוכרים.

העברתם? השעה הראשונה קובעת

כספי BEC נעים מהר — ברוב המקרים הם מועברים הלאה מהחשבון הראשון תוך שעות. לכן כל דקה משנה:

  1. התקשרו לבנק שלכם — מיד. בקשו עצירת ההעברה או ריקול (Recall). בנק ישראל חייב את הבנקים להפעיל מוקד ייעודי 24/7 לנפגעי הונאה — השתמשו בו גם בלילה וגם בסוף שבוע.
  2. דווחו במקביל למשטרה (תחנה או אתר משטרת ישראל) ולמערך הסייבר הלאומי במוקד 119. דיווח מהיר מגדיל את הסיכוי להקפאת הכסף בחשבון היעד.
  3. נתקו את התוקף מהתיבה. החליפו סיסמה, נתקו את כל ההתחברויות הפעילות (Sign out everywhere), מחקו חוקי העברה זדוניים והפעילו MFA — אחרת הוא צופה גם בהתאוששות שלכם.
  4. הודיעו לצד השני בשרשרת — הספק או הלקוח שהתחזו אליו — בטלפון, לא במייל. ייתכן שהפריצה בכלל אצלו, ושאתם לא הקורבן היחיד.
  5. אל תתביישו ואל תעכבו. ההונאות האלה מפילות גם ארגונים מתוחכמים, וכל שעה של ״בואו נבדוק קודם לבד״ מקטינה את סיכויי ההחזר. אם יש חשד שהתיבה שלכם פרוצה, בדקו גם את שאר הסימנים שהעסק נפרץ.

צ׳קליסט לשבוע הקרוב

  1. כתבו נוהל אימות תשלומים של עמוד אחד: אימות טלפוני למספר מוכר על כל שינוי פרטי בנק ומוטב חדש, ואישור כפול מעל סף שתגדירו.
  2. העבירו את הנוהל לכל מי שנוגע בכסף — הנהלת חשבונות, כספים, משאבי אנוש — עם גיבוי מפורש בכתב מהמנכ״ל.
  3. הפעילו MFA על כל תיבות המייל בארגון, כולל הנהלה וכולל תיבות משותפות.
  4. הריצו ביקורת חוקי תיבה בכל החשבונות ומחקו כל חוק העברה חיצוני לא מזוהה.
  5. ודאו שרשומות SPF, DKIM ו-DMARC מוגדרות על הדומיין שלכם (מדיניות DMARC של quarantine לפחות).
  6. שמרו במקום זמין את פרטי מוקד ההונאות של הבנק שלכם ואת מוקד 119 של מערך הסייבר — שלא תחפשו אותם בפעם הראשונה ברגע האמת.

השורה התחתונה

BEC היא ההונאה שמוכיחה שהחוליה החלשה היא לא הפיירוול — היא תהליך אישור התשלומים. התוקפים לא פורצים טכנולוגיה; הם רוכבים על שגרה, על אמון ועל דחיפות. ולכן דווקא כאן לעסק קטן יש יתרון: נוהל אימות של עמוד אחד, MFA, וביקורת אחת של חוקי תיבה מנטרלים את רוב התרחישים — בהשקעה של ימים בודדים, מול נזק ממוצע של מאות אלפי שקלים לאירוע.

לא בטוחים אם תהליך התשלומים שלכם היה עוצר את התרחיש מהפתיחה? Cybertis בונה לעסקים נוהלי אימות תשלומים, מקשיחה את סביבת המייל ומתרגלת את הצוות — כחלק משירות CISO-כשירות המותאם לגודל העסק. הפגישה הראשונה עלינו.

לשירות CISO לעסק

*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ מקצועי או משפטי מחייב. תרחישי הונאה והנחיות תגובה משתנים בין ארגונים, ומומלץ לבחון כל מקרה לגופו.*

תכנון מראש, לא תגובה בדיעבד

בואו נדבר על חוסן הסייבר של הארגון שלכם.

שיחת היכרות של 30 דקות עם בכיר/ה מהצוות שלנו. ללא מצגות מכירה וללא לחץ — רק תמונת מצב אמיתית של היכן אתם נמצאים ולאן כדאי להמשיך.

תגובה ראשוניתתוך 4 שעות
פגישת היכרותללא עלות וללא התחייבות
אופן ההתקשרותפרויקט נקודתי או התקשרות שוטפת
כתובת לאירוע פעילsoc@cybertis.co.il