דלגו לתוכן
ענפים27 ביוני 202610 דק׳ קריאה

סוכנויות נסיעות: דרכונים, כרטיסי אשראי והזמנות בחו״ל

תיקיית ה-WhatsApp של הסוכנות מלאה בצילומי דרכון, פרטי כרטיס ותאריכי נסיעה — בדיוק שלושת סוגי המידע שגנבי זהות הכי רוצים. מדריך מעשי לענף הנסיעות: הונאות אקוסיסטם ה-Booking, הונאת ספק (BEC) בשיא העונה, התחזות למותג, וכללי טיפול בדרכונים ובתשלומים לפי תיקון 13.

ר.ש
רותם שיינס · מנכ״ל ובעלים
מומחה אבטחת מידע ופרטיות · Cybertis · מעל 10 שנות ניסיון

תסתכלו רגע על תיקיית ה-WhatsApp של הסוכנות שלכם. שם, בין הצ׳אטים על טיסות ומלונות, יושבים כרגע צילומי דרכון של עשרות לקוחות, ארבע ספרות אחרונות (ולפעמים המספר המלא) של כרטיסי אשראי, תאריכי יציאה וחזרה, וכתובות בית. עכשיו תסתכלו על תיקיית קבוצת הטיול שיוצאת בעוד שבועיים: מניפסט אקסל אחד ובו שמות מלאים, מספרי דרכון, תאריכי לידה ומספרי טלפון של 40 איש. סוכנות נסיעות היא לא ״עסק קטן שמוכר חופשות״ — היא מאגר מידע רגיש מהמעלה הראשונה, שמרכז בדיוק את שלושת סוגי המידע שגנבי זהות הכי רוצים: מסמך זיהוי רשמי, אמצעי תשלום, ומידע על מתי הבית ריק. במדריך הזה נפרק את מפת הסיכונים הייחודית לסוכנויות נסיעות בישראל — הונאות אקוסיסטם ה-Booking, הונאת ספק (BEC) בשיא העונה, והתחזות למותג שלכם — וניתן תוכנית עבודה מעשית שאפשר להתחיל השבוע.

למה דווקא דרכון הוא הבעיה

דרכון הוא מסמך הזיהוי בעל הערך הגבוה ביותר לגנב זהות: הוא רשמי, בינלאומי, וקשה מאוד להחליף. במחירוני הדארק ווב סריקת דרכון נסחרת בפני עצמה, וחבילת זהות מלאה (Fullz) — שם, תאריך לידה, מספר זיהוי וסריקת מסמך — שווה עשרות עד מאות דולרים. סוכנות שאוגרת מאות סריקות כאלה, לרוב ב-WhatsApp ובמייל בלי מחיקה, יושבת על נכס שתוקף ישמח מאוד למצוא.

מפת הדאטה של הסוכנות — מה בעצם יש לכם ביד

לפני שמדברים על איומים, כדאי לראות בבירור מה עובר דרך הסוכנות ביום עבודה רגיל. ארבעה סוגי מידע, וכל אחד מהם רגיש בדרך אחרת:

  • סריקות דרכון — נאספות כשגרה לכל הזמנת טיסה, ויזה או שייט. המסמך היקר ביותר לגניבת זהות, ולרוב נשמר בלי כל בקרה: צ׳אט WhatsApp, תיקיית מייל, תיקייה במחשב.
  • פרטי כרטיס אשראי מלאים — נמסרים בטלפון או ב-WhatsApp כדי לבצע הזמנה מול ספק. זה הסיוט של PCI DSS: מספר כרטיס מלא (PAN) יחד עם תוקף ו-CVV, שמתועד בכתב או בהקלטה. עקרונית, אסור לכם להחזיק את המידע הזה בכלל — נרחיב על כך בהמשך, ובמקביל שווה לקרוא את המדריך שלנו לאבטחת תשלומים ו-PCI DSS.
  • תאריכי נסיעה — נראים תמים, אבל זהו בדיוק המידע ש״הבית ריק מ-14 עד 28 בחודש״. בשילוב הכתובת שממילא יש לכם, זה מידע יקר ערך לפורצים פיזיים ולהונאות ממוקדות.
  • מניפסטים של קבוצות — קובץ אחד שמרכז הכול על עשרות אנשים: שמות, דרכונים, תאריכי לידה, טלפונים ולעיתים גם מצב בריאותי (התאמות תזונה, ניידות). דליפה של קובץ אחד כזה היא דליפה של מאגר שלם.
מפת הדאטה הרגישה והונאות ענף הנסיעות שמכוונות לסוכנות נסיעות
מקור: Bitdefender (2024), הרשות להגנת הפרטיות, תיקון 13.

נוף האיומים הייחודי לענף הנסיעות

ענף הנסיעות עבר בשנים האחרונות לצמרת יעדי ההונאה, ולא במקרה — הוא משלב סכומים גבוהים, לחץ זמן, ושרשרת ספקים בינלאומית שקשה לאמת. לפי דיווח של חברת האבטחה Bitdefender מיוני 2024, נרשמה עלייה של 500 עד 900 אחוז בהונאות נסיעות במהלך 18 החודשים שקדמו לכך — קפיצה שיוחסה במידה רבה לשימוש בבינה מלאכותית גנרטיבית, שמאפשרת לייצר מיילים, אתרים ופרסומות מזויפים באיכות גבוהה ובקנה מידה גדול. בואו נפרק את שלושת האיומים הרלוונטיים ביותר לסוכנות.

1. הונאת אקוסיסטם ה-Booking — ואתם עוגן האמון

זו כנראה ההונאה שהלקוחות שלכם הכי חשופים אליה. בתרחיש הנפוץ, תוקפים משתלטים על חשבון של מלון או שותף אמיתי בפלטפורמת ההזמנות, ושולחים לאורח הודעה שנראית לגיטימית לחלוטין: היא מגיעה מתוך המערכת האמיתית, מכילה את שם האורח ואת תאריך הצ׳ק-אין הנכונים, ומבקשת ״לאמת את פרטי התשלום״ או ״להשלים תשלום מקדמה״ דרך קישור. מכיוון שכל הפרטים אמיתיים, גם לקוחות זהירים נופלים.

כאן נכנס התפקיד הייחודי שלכם: הלקוחות שלכם מקבלים את ההודעות האלה, ואתם עוגן האמון שלהם. לקוח שקיבל הזמנה דרך הסוכנות ומקבל פתאום ״בקשת אימות תשלום״ יתקשר אליכם לשאול — או, גרוע מכך, לא יתקשר וישלם. לכן הכלל הראשון הוא לתדרך כל לקוח כבר ברגע ההזמנה, לא אחרי שהוא נפגע.

מה להגיד לכל לקוח בעת ההזמנה

אמרו את זה בפה מלא, ורצוי גם בכתב באישור ההזמנה: ״אנחנו והמלון לעולם לא נבקש ממך פרטי תשלום או אימות כרטיס דרך קישור בהודעת SMS, WhatsApp או מייל. אם קיבלת בקשה כזו — גם אם היא מכילה את שמך ותאריכי הנסיעה הנכונים — אל תלחץ, ותתקשר אלינו למספר שאתה מכיר.״ המשפט הזה, שנאמר בזמן, שווה יותר מכל מערכת הגנה.

2. הונאת ספק (BEC) — הסיכון היקר שלכם בשיא העונה

בעוד הונאת ה-Booking מכוונת ללקוח, הונאת ה-BEC מכוונת ישירות אליכם — והיא זו שיכולה לעלות לסוכנות עשרות ואף מאות אלפי שקלים במכה. השיטה: תוקף שולט על תיבת מייל של ספק אמיתי — מלון בחו״ל, DMC (Destination Management Company), חברת שייט — או מזייף אותה, ושולח חשבונית מזויפת עם פרטי חשבון בנק ״מעודכנים״. העיתוי אינו מקרי: הוא בוחר את הרגע שלפני יציאת קבוצה, כשאתם צריכים להעביר תשלום גדול תחת לחץ זמן. לחץ העונה החמה הוא בדיוק הדחיפות שההונאה זקוקה לה.

ההגנה היחידה שעובדת נגד BEC היא נוהל אימות מחוץ למייל, שלא מוותרים עליו גם בלחץ. שינוי פרטי תשלום של ספק מאומת תמיד בשיחת טלפון חוזרת למספר מוכר מראש — לא למספר שמופיע במייל החדש. הרחבנו על מנגנון ההונאה הזה ועל נוהל האימות המלא במדריך להונאת מנכ״ל והחלפת חשבונית (BEC), וזו קריאת חובה לכל מי שמעביר כספים לספקים בחו״ל.

3. גישה למערכות הפצה (GDS) והתחזות למותג שלכם

לסוכנות יש גישה למערכות הפצה גלובליות מסוג Amadeus או Sabre. אישורי הגישה האלה הם מטרה בפני עצמה: מי שמשיג אותם יכול לשלוף כמות גדולה של רשומות נוסע (PNR) — פרטי טיסות, שמות, אמצעי קשר ולעיתים אמצעי תשלום. לכן משמעת אישורי הגישה קריטית: MFA על כל חשבון גישה למערכת ההפצה, סיסמאות ייחודיות, וביטול הרשאה מיידי לעובד שעוזב.

איום נוסף שצומח במהירות הוא התחזות למותג הסוכנות: תוקפים משכפלים את עמוד הפייסבוק או האתר שלכם, מפרסמים ״חבילות נופש״ מפתות במחירים לא הגיוניים, וגובים תשלום על נסיעות שלא קיימות. הנפגע הישיר הוא הלקוח, אבל הנזק — למוניטין שלכם. שווה להריץ מדי פעם חיפוש על שם הסוכנות ברשתות ובגוגל, לדווח על עמודים מזייפים לפלטפורמה, ולפרסם ללקוחות מהם הערוצים הרשמיים היחידים שלכם.

התוכנית המעשית: איך מנהלים את הדאטה נכון

עכשיו לחלק המעשי. ארבעה תחומים, וכל אחד מהם ניתן לשיפור משמעותי גם בסוכנות קטנה בלי מחלקת IT.

טיפול בדרכונים — לאסוף נכון, ולמחוק בזמן

  • לאסוף בערוץ מאובטח, לא ב-WhatsApp. במקום לבקש ״תשלח לי צילום דרכון בוואטסאפ״, השתמשו בטופס העלאה מאובטח או בפורטל לקוחות. WhatsApp ומייל אינם ערוצים לאיסוף מסמכי זיהוי — הם נשארים שם לנצח, מגובים בענן, ונגישים לכל מי שמשיג את הטלפון.
  • לשמור רק עד אחרי הנסיעה — ואז למחוק בטקס קבוע. אין שום סיבה להחזיק סריקת דרכון של לקוח חודשים אחרי שחזר. קבעו כלל: מחיקת סריקות דרכון X ימים אחרי סיום הנסיעה. ״ערימת סריקות הדרכון מ-2019״ שיושבת אצל כמעט כל סוכנות היא לא נכס — היא התחייבות ומוקד סיכון.
  • למפות איפה זה שמור. אם אתם לא יודעים בכמה מקומות שמורה סריקת דרכון של לקוח (צ׳אט, מייל, מחשב, ענן) — אתם לא יכולים למחוק אותה. מיפוי הוא הצעד הראשון.

נתוני כרטיס — הכלל הפשוט: לא לגעת, לא לשמור

  • לעולם לא לאחסן מספר כרטיס מלא ב-CRM, באקסל, במחברת או בהקלטת שיחה. מספר כרטיס מלא (PAN) יחד עם CVV הוא בדיוק מה ש-PCI DSS אוסר להחזיק.
  • להעדיף קישורי תשלום וזרימות מטוקנות. במקום לקחת פרטי כרטיס בטלפון, שלחו ללקוח קישור תשלום מאובטח של חברת הסליקה, או השתמשו במנגנון המלון/ספק. ככל שאתם נוגעים בפחות נתוני כרטיס — כך פחות סיכון ופחות רגולציה חלים עליכם.
  • אם כבר רשמתם — למחוק. אם CVV או מספר כרטיס מלא נרשם אי־פעם בצ׳אט או במסמך, זו הזדמנות למחוק אותו עכשיו.

פרוטוקול תקשורת עם לקוחות וספקים

  • להכריז בעת ההזמנה: ״אנחנו לעולם לא נשנה פרטי תשלום דרך הודעה.״ הכרזה מוקדמת הופכת כל בקשה חריגה לדגל אדום מיידי אצל הלקוח.
  • לאמת שינויי ספק בשיחה חוזרת למספר מוכר. לא למספר שמופיע במייל, לא ל״נציג חדש״ — למספר ששמור אצלכם מראש.
  • משמעת BCC במיילים קבוצתיים. כשאתם שולחים מייל לכל משתתפי הטיול, השתמשו ב-BCC. מייל אחד עם 40 כתובות ב-To חושף את רשימת כל הנוסעים לכל אחד מהם — וזו חשיפת מידע אישי מיותרת.
  • שיתוף מניפסטים במינימום הכרחי. כשאתם שולחים מניפסט למלון או למדריך, שלחו רק את מה שהם באמת צריכים. המדריך צריך שמות ואולי טלפון — הוא לא צריך מספרי דרכון ותאריכי לידה של כולם.

תיקון 13 — מה שסוכנות נסיעות חייבת לדעת

מאגר לקוחות שמכיל מספרי ת״ז ודרכונים הוא מאגר מידע לכל דבר, וחשיפה משפטית ממשית. תיקון 13 לחוק הגנת הפרטיות נכנס לתוקף ב-14 באוגוסט 2025 והרחיב מאוד את סמכויות האכיפה של הרשות להגנת הפרטיות, לצד עיצומים כספיים משמעותיים. שתי נקודות שכל סוכנות צריכה לוודא כבר עכשיו:

  • הודעה לפי סעיף 11. כשאתם אוספים מידע אישי בטופס הזמנה, החוק מחייב יידוע: מה מטרת האיסוף, האם החובה למסור וכו׳. ב-2025 הרשות אף קנסה שתי חברות ראיית חשבון גדולות ב-15,000 ש״ח כל אחת על סריקת ת״ז של מבקרים בכניסה למשרד בלי ההודעה הנדרשת. אצלכם, שאוספים דרכונים כשגרה — הסיכון גבוה בהרבה.
  • אבטחת המאגר בפועל. תקנות אבטחת המידע דורשות בקרות מותאמות לרמת הרגישות. מאגר עם דרכונים ואמצעי תשלום אינו מאגר ״בסיסי״, וכשל באבטחתו נכנס לתחתית סולם העיצומים החמור. לעומק על מבנה החוק והחובות — במאגר העובדות שלנו ובשירות הייעודי.
הערת חוסן בעידן מלחמה

לסוכנויות ישראליות יש אתגר נוסף: תנודתיות יעדים ומצבי חירום שבהם צריך לשלוף מהר את פרטי כל הנוסעים שנמצאים בחו״ל — לעיתים כשמערכות למטה. ודאו שיש לכם עותק גיבוי מאובטח ונגיש (לא רק בענן אחד, ולא רק במחשב אחד) של רשימות הנוסעים הפעילים ואמצעי הקשר שלהם. רציפות הדאטה בשעת חירום היא לא רק אבטחה — היא אחריות כלפי הלקוחות שסומכים עליכם.

כרטיס פרוטוקול לטיפול בדרכונים, כרטיסי אשראי, תקשורת עם לקוחות וספקים בסוכנות נסיעות
פרוטוקול הטיפול בדרכונים ובתשלומים בסוכנות נסיעות.

התמונה במבט אחד

סוג המידעהסיכון העיקריהכלל המנחה
סריקת דרכוןהמסמך היקר ביותר לגניבת זהות; נאגר בלי מחיקהלאסוף בטופס מאובטח, למחוק אחרי הנסיעה
כרטיס אשראי מלאPAN + CVV שמור = הפרת PCI DSS וחשיפה ישירהלא לשמור; קישור תשלום מטוקן
תאריכי נסיעהמידע ״הבית ריק״ + הזמנות ממוקדותלשתף במינימום, לא לפרסם
מניפסט קבוצהקובץ אחד = מאגר שלם על עשרות אנשיםBCC, שיתוף מינימלי, בקרת גישה

צ׳קליסט לעונה החמה

שמונה צעדים שאפשר להתחיל בהם השבוע, לפני שהעומס מגיע:

  1. החליפו את איסוף הדרכונים מ-WhatsApp לטופס העלאה מאובטח או פורטל לקוחות.
  2. קבעו טקס מחיקה: סריקות דרכון נמחקות מספר ימים קבוע אחרי סיום הנסיעה — כולל ניקוי ״הערימה מ-2019״.
  3. בטלו כל אחסון של מספר כרטיס מלא ו-CVV; עברו לקישורי תשלום מטוקנים.
  4. הוסיפו לאישור ההזמנה משפט קבוע: ״לעולם לא נבקש אימות תשלום דרך קישור בהודעה.״
  5. כתבו נוהל אימות שינויי ספק: שיחה חוזרת למספר מוכר מראש, בלי יוצא מן הכלל.
  6. הפעילו MFA על מערכת ההפצה (Amadeus/Sabre), על המיילים ועל ה-CRM.
  7. עברו ל-BCC בכל מייל קבוצתי, וצמצמו את מה שנשלח במניפסטים לספקים ולמדריכים.
  8. ודאו הודעת סעיף 11 בטופסי ההזמנה, וגיבוי חירום נגיש של רשימות הנוסעים הפעילים.

השורה התחתונה

סוכנות נסיעות מחזיקה שילוב נדיר של מידע רגיש — מסמכי זיהוי, אמצעי תשלום, ומידע על מתי הבית ריק — ובמקביל היא עוגן האמון שבין הלקוח לבין עולם שלם של ספקים בחו״ל שקשה לאמת. שני התפקידים האלה הם בדיוק מה שהופך אתכם למטרה, אבל גם מה שנותן לכם כוח: משפט אחד שנאמר ללקוח בזמן הנכון, ונוהל אחד של שיחה חוזרת לספק, מונעים את רוב הנזק. אבטחת מידע בסוכנות נסיעות היא לא פרויקט טכנולוגי גדול — היא כמה הרגלים נכונים, שנשמרים גם בשיא הלחץ של העונה.

Cybertis מלווה עסקים ישראליים — ובכללם סוכנויות נסיעות — במיפוי מאגרי המידע, התאמה לתיקון 13, ובניית נהלים מעשיים לטיפול בדרכונים, בכרטיסי אשראי ובספקים בחו״ל. הפגישה הראשונה עלינו.

לשירות התאמה לתיקון 13

*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ משפטי או מקצועי מחייב. יישום בפועל תלוי במאפייני הסוכנות, בסוגי המידע שהיא מנהלת ובדרישות הרגולציה, ומחייב בחינה פרטנית.*

תכנון מראש, לא תגובה בדיעבד

בואו נדבר על חוסן הסייבר של הארגון שלכם.

שיחת היכרות של 30 דקות עם בכיר/ה מהצוות שלנו. ללא מצגות מכירה וללא לחץ — רק תמונת מצב אמיתית של היכן אתם נמצאים ולאן כדאי להמשיך.

תגובה ראשוניתתוך 4 שעות
פגישת היכרותללא עלות וללא התחייבות
אופן ההתקשרותפרויקט נקודתי או התקשרות שוטפת
כתובת לאירוע פעילsoc@cybertis.co.il