קניות ברשת בלי להיפגע: אתרים מזויפים, ביט ומרקטפלייס
מודעת ״מבצע סוף עונה״ שמובילה לחנות שנעלמת אחרי התשלום, ״קונה״ ביד2 ששולח שליח, ובקשת ״אימות תשלום״ מהמלון. מפת הונאות הקניות הישראלית — ובעיקר, איזה אמצעי תשלום באמת מגן עליכם: כרטיס אשראי הופך אתכם ללקוח עם זכויות, וביט הוא מזומן שאי אפשר להשיב.
מודעה בפייסבוק קופצת בפיד: מותג הנעליים הישראלי שאתם מכירים, ״מבצע סוף עונה — 70% הנחה, 48 שעות אחרונות״. האתר נראה בדיוק כמו האמיתי — אותו לוגו, אותן תמונות מוצר, אותו עיצוב. אתם מזמינים זוג, משלמים, ומקבלים מייל אישור. ואז — כלום. החבילה לא מגיעה, המייל לתמיכה חוזר כ״לא נמסר״, ודף הפייסבוק של ה״חנות״ נעלם. זה לא מקרה נדיר: זו תעשייה. הונאות קניות ברשת הן מהנפוצות בישראל, והן עובדות כי הן נשענות על שני דברים שכולנו רוצים — מחיר טוב ומהירות. במדריך הזה נפרוס את המפה המלאה: אתרים מזויפים, הונאות במרקטפלייס (יד2 ופייסבוק מרקטפלייס), פלטפורמות בינלאומיות, הונאות נופש — ובעיקר, מה באמת מגן עליכם כשמשלמים, ומה עושים כשזה כבר קרה.
לפי דוח מערך הסייבר הלאומי לשנת 2025, פישינג היה סוג הדיווח הנפוץ ביותר — כ-13,700 דיווחים, עלייה של 35% בשנה. הישויות המחקות ביותר בהודעות ההונאה הן בנקים, חברות משלוחים ודואר ישראל. במקביל, חברת Bitdefender דיווחה על עלייה של 500 עד 900 אחוז בהונאות נסיעות ב-18 החודשים שקדמו ליוני 2024, בסיוע בינה מלאכותית שמייצרת אתרים והודעות משכנעים במהירות. במילים אחרות: הזיוף נעשה זול, מהיר ומשכנע — וזה בדיוק מה שמחייב אותנו לשנות הרגלים.
אתרים מזויפים: החנות שנעלמת אחרי שמשלמים
האתר המזויף הוא הצורה הקלאסית. לרוב הוא מגיע דרך מסלול ממומן: מודעה ב-Facebook או Instagram, ״מבצע סוף עונה״ של מותג ישראלי מוכר, קישור לאתר שנראה מושלם. חלק מהאתרים הם העתקה מלאה של מותג אמיתי (״קלון״); אחרים הם חנות פיקטיבית שנבנתה מאפס תוך ימים. המטרה זהה: לגבות תשלום ולהיעלם — או להוציא מכם פרטי אשראי.
החדשות הטובות: כמעט תמיד יש דגלים אדומים שאפשר לזהות בפחות מדקה. אלה החוזרים ביותר מהשטח:
- מחיר טוב מדי. נעליים ב-70% הנחה, iPhone חדש בחצי מחיר. אם הכול זול משמעותית מכל מקום אחר — זו הסיבה שנוצר האתר.
- דומיין טרי או משונה. שם דומיין שנרשם לפני שבועיים, או וריאציה מוזרה על השם המקורי (nike-israel-sale.shop במקום nike.co.il). דומיין חדש לגמרי למותג ותיק הוא סימן אזהרה.
- אין פרטי חברה. אין ח.פ, אין כתובת פיזית בישראל, אין שם של חברה בעל האתר, ״צור קשר״ הוא רק טופס או כתובת Gmail. עסק ישראלי אמיתי חייב לפרסם את פרטיו.
- רק העברה בנקאית או ביט. האתר מבקש תשלום בהעברה בנקאית, ביט או PayBox — ולא מציע כרטיס אשראי או PayPal. זה הדגל הכי חזק: הם רוצים כסף שאי אפשר לבטל.
- עברית של תרגום מכונה. נוסח מקרטע, שגיאות, מונחים לא ישראליים (״עגלת קניות שלך״ במקום ״הסל שלך״) — סימן לאתר שהורכב מהר בחו״ל.
- לחץ זמן מלאכותי. טיימר ״נשארו 4 דקות למבצע״, ״נותרו 2 יחידות במלאי״. הדחיפות היא כלי לחסום אתכם ממחשבה שנייה.

מרקטפלייס: יד2 ופייסבוק מרקטפלייס
בזירות יד-שנייה כמו יד2 ופייסבוק מרקטפלייס ההונאה עוברת לרמה האישית — מולכם עומד ״אדם״, לא אתר. הדפוסים החוזרים:
- הקונה שמשלם ״יותר מדי״ ושולח שליח. אתם מוכרים פריט; ״קונה״ מעוניין מיד, מסכים למחיר בלי להתמקח, ומודיע שישלח שליח פרטי לאיסוף — אבל צריך ״לתאם תשלום מראש״. אז מגיע קישור לתשלום, לפעמים עם ״עודף״ שהוא ביקש שתחזירו. הקישור הוא דף פישינג שגונב את פרטי הכרטיס, או שהם מבקשים שתעבירו להם ״עודף״ אמיתי בביט — ואז נעלמים.
- היפוך הבקשה בביט. אתם מוכרים, הקונה ״משלם״ בביט — אבל במקום להעביר לכם כסף, הוא שולח בקשה לקבל כסף מכם. הממשק מבלבל, אתם מאשרים, וברגע שלחצתם — הכסף יצא מכם, לא נכנס. בנק הפועלים תיאר את הדפוס הזה במפורש באזהרותיו.
- ״תקלה טכנית — תשלחו שוב״. אחרי שקיבלתם או שלחתם תשלום, מגיעה הודעת SMS שמתחזה לביט: ״אירעה תקלה, נא להעביר את הסכום שוב״. זו הודעה מזויפת. ביט לעולם לא תבקש להעביר שוב דרך SMS.
- הקדמת תשלום על פריט שלא ראיתם. מוכר דורש תשלום מלא מראש לפני מפגש או משלוח, לרוב בביט או העברה, ומסרב לתשלום מאובטח. פריט נעלם ברגע שהעברתם.
אין באפליקציות התשלום המיידי בישראל — ביט או PayBox — מנגנון ״הגנת קונה״ למוצרים, כפי שקיים בכרטיס אשראי או ב-PayPal. ברגע שאישרתם העברה, הכסף עבר, וההחזר תלוי אך ורק ברצון הטוב של הצד השני. גם אם טעיתם בהקלדת מספר או נפלתם להונאה — אין כפתור ״ביטול״. לכן הכלל פשוט: במרקטפלייס, שלמו רק במפגש פיזי כשהפריט בידכם — לא מראש, לא ״כדי לשמור״, ולא לשליח שהקונה שלח.
עלי-אקספרס, Temu ופלטפורמות בינלאומיות
כאן התמונה שונה. פלטפורמות כמו AliExpress, Temu או Amazon אינן ״הונאה״ — הן שווקים ענקיים עם מסלולי תשלום מאובטחים ומנגנון החזר מובנה. אם שילמתם בכרטיס אשראי או ב-PayPal והמוצר לא הגיע או הגיע פגום, יש למי לפנות. הסיכון פה הוא אחר ומעודן יותר:
- מוצרים מזויפים (Counterfeit). מוכרים צד-שלישי שמוכרים חיקויים של מותגים, מטענים לא תקניים, מוצרי חשמל בלי אישור בטיחות. הפלטפורמה מגנה על העסקה — לא על איכות המוצר.
- רמת ההגנה משתנה לפי המוכר. בשוק פתוח, חלק מהמוכרים אמינים וחלק לא. קראו דירוגים, בדקו כמה זמן המוכר פעיל, והעדיפו מוכרים עם היסטוריית מכירות ארוכה.
- מכס ומשלוח. מעל תקרת הפטור, ייתכן חיוב מכס ומע״מ בכניסה לישראל — הוצאה שלא הופיעה במחיר המקורי. זו לא הונאה, אבל כדאי לקחת בחשבון.
הכלל: בפלטפורמות אלה שלמו תמיד דרך מערכת התשלום הרשמית של האתר (לא ״ישירות למוכר״ בערוץ צדדי), ואל תעברו לוואטסאפ או לטלגרם לסגור עסקה ״בזול יותר״ — ברגע שיצאתם מהפלטפורמה, יצאתם גם מההגנה שלה.
הונאות נופש והזמנות: הצ׳אט של המלון שמבקש ״אימות תשלום״
עלייה של 500 עד 900 אחוז בהונאות נסיעות אינה מספר מופשט — היא באה לידי ביטוי בשיטה ספציפית ומתוחכמת. בהונאת Booking הנפוצה, התוקפים אינם בונים אתר מזויף. הם משתלטים על חשבון של מלון אמיתי בפלטפורמה, ומשם שולחים לכם הודעה בצ׳אט הרשמי — עם שמכם הנכון, תאריך הצ׳ק-אין האמיתי ופרטי ההזמנה הנכונים. ההודעה מבקשת ״לאמת את פרטי כרטיס האשראי״ או ״להשלים תשלום דרך קישור מאובטח״. מכיוון שהכול נכון והמקור נראה לגיטימי, קל ליפול.
פלטפורמת הזמנות אמיתית לעולם לא תשלח אתכם לדף תשלום חיצוני דרך צ׳אט. אם קיבלתם ״בקשת אימות תשלום״ — עצרו. אל תלחצו על הקישור בהודעה. פתחו את האפליקציה או האתר של הפלטפורמה ישירות (או התקשרו למלון בטלפון הרשמי מהאתר), ובדקו את ההזמנה משם. אותו היגיון בדיוק חל על הודעות SMS מזויפות — כפי שפירטנו במדריך הונאות ה-SMS הישראליות.
דירוג אמצעי תשלום: מה באמת מגן עליכם
זו הנקודה החשובה ביותר במדריך, כי בחירת אמצעי התשלום קובעת מה קורה כשמשהו משתבש. ההבדל אינו ״נוחות״ — הוא ההבדל בין כסף שאפשר להשיב לבין כסף שנעלם. הנה הדירוג, מהמוגן לפחות מוגן:
| אמצעי תשלום | רמת הגנה | מה קורה כשיש בעיה |
|---|---|---|
| כרטיס אשראי | הגבוהה ביותר | בעסקה שלא סופקה — אפשר לעצור את יתרת התשלומים. בשימוש לרעה/גניבה — אחריות מוגבלת בחוק, עד 450 ₪ אם דיווחתם תוך 30 יום. |
| PayPal / ארנק עם הגנת קונה | גבוהה | מנגנון מחלוקת (dispute) מובנה: פותחים תלונה, והפלטפורמה בוחנת ומחזירה כסף במקרים מתאימים. |
| כרטיס דביט / נטען | בינונית | הגנת חוק שירותי תשלום חלה גם כאן, אך פחות גמישות מעסקת אשראי בתשלומים; הכסף כבר יצא מהחשבון. |
| ביט / PayBox | נמוכה — כמו מזומן | אין הגנת קונה למוצרים. העברה שאושרה סופית; ההחזר תלוי אך ורק בצד השני. |
| העברה בנקאית ישירה | הנמוכה ביותר | כמו מזומן, ולעיתים קשה עוד יותר לאיתור. אין מנגנון החזר לצרכן. |

חשוב לדייק את זכות הצרכן בכרטיס אשראי, כי מסתובבות עליה אי-הבנות. לפי חוק שירותי תשלום (שהחליף חלקים מחוק כרטיסי חיוב): בעסקה שהמוצר או השירות בה לא סופקו — אתם רשאים לדרוש מחברת האשראי לעצור את יתרת התשלומים העתידיים, לאחר שהודעתם גם לעוסק וגם לחברה. זו זכות חזקה בעסקאות בתשלומים. אבל שימו לב לגבול: הכסף שכבר נגבה בפועל אינו מוחזר אוטומטית — את זה עדיין צריך לתבוע מהעוסק. לכן, אגב, עסקה בתשלומים מגנה עליכם יותר מתשלום אחד מלא: ככל שנשארו יותר תשלומים לעצור, כך גדל הסכום שתוכלו למנוע.
במקרה של שימוש לרעה — כרטיס שנגנב או פרטים שנגנבו בפישינג — ההגנה חזקה עוד יותר: אחריותכם מוגבלת בחוק, ולאחר שדיווחתם לחברה אתם פטורים מכל חיוב נוסף. אם דיווחתם תוך 30 יום מגילוי ההונאה, סך אחריותכם לא יעלה על 450 ₪, וברוב המקרים אף פחות. החברה מחויבת להקפיא את הכרטיס מיד ולהשיב סכומים מתאימים תוך שמונה ימי עסקים. זו בדיוק הסיבה שכרטיס אשראי הוא אמצעי התשלום המוגן ביותר לקנייה מספק שאתם לא מכירים.
בדיקת 60 השניות לפני שמשלמים
לפני שאתם מזינים פרטי תשלום באתר שלא קניתם בו קודם, הריצו את הבדיקה הזו. היא לוקחת פחות מדקה וחוסכת הרבה מאוד עוגמת נפש:
- פרטי חברה. גללו לתחתית האתר: יש שם חברה, ח.פ, כתובת פיזית וטלפון? אם אין — עצרו.
- גיל הדומיין. חפשו את שם האתר בגוגל עם המילה ״ביקורות״ או ״הונאה״. אתר אמיתי מייצר תוצאות; אתר טרי — שקט מוחלט או תלונות טריות.
- ביקורות מחוץ לאתר. אל תסתמכו על ״ביקורות״ שמופיעות באתר עצמו — הן מזויפות בקלות. חפשו בגוגל, בפייסבוק ובפורומים.
- HTTPS זה לא אמון. המנעול הירוק (HTTPS) אומר רק שהחיבור מוצפן — לא שהאתר ישר. גם אתרי הונאה משתמשים ב-HTTPS. אל תראו במנעול חותמת אמינות.
- מדיניות החזרה ומשלוח. יש דף החזרות ברור, כתובת להחזרת מוצר, זמני אספקה סבירים? היעדרם הוא סימן.
- אמצעי תשלום. אם מוצע רק ביט או העברה — זה כמעט תמיד מספיק כדי לוותר.
שלב המשלוח: ה-SMS על ״דמי המכס״
ההונאה לא נגמרת בתשלום. גם אחרי שקניתם באתר לגיטימי, עלולה להגיע הודעת SMS: ״החבילה שלך ממתינה, נדרש תשלום דמי מכס/משלוח — לחצו כאן״. הקישור מוביל לדף מזויף שגובה סכום קטן ובעיקר גונב את פרטי הכרטיס. משטרת ישראל ודואר ישראל הזהירו מפורשות מפני גל הודעות ״חבילה ממתינה״ המתחזות לדואר ישראל. הכלל: דואר ישראל וחברות השילוח אינן גובות דמי מכס דרך קישור ב-SMS. אם יש חיוב מכס אמיתי, מסדירים אותו בערוץ הרשמי בלבד. הרחבנו על כל משפחת ההונאות הזו במדריך הונאות ה-SMS הישראליות.
זה כבר קרה — מה עושים עכשיו
אם שילמתם והבנתם שנפלתם, מהירות היא הכול. פעלו לפי הסדר:
- שילמתם בכרטיס אשראי? התקשרו מיד למספר החירום של חברת האשראי (מופיע בגב הכרטיס ובאפליקציה). בקשו לחסום את הכרטיס ולפתוח הכחשת עסקה. ככל שתדווחו מהר יותר — אחריותכם הכספית קטנה יותר.
- שילמתם בביט/העברה? פנו מיד לבנק שלכם ולשירות הלקוחות של האפליקציה. הסיכוי להשבה נמוך, אך לעיתים ניתן לחסום או להקפיא לפני שהכסף נמשך.
- מסרתם פרטי כרטיס בדף פישינג? התייחסו לכרטיס כמפוצח: חסמו אותו והחליפו. שנו סיסמאות לכל חשבון שבו השתמשתם באותם פרטים.
- תעדו הכול. צילומי מסך של האתר, המודעה, ההתכתבות, אישור התשלום. זה מה שיאפשר להתקדם בהכחשת עסקה ובתלונה.
- דווחו למשטרה. הגישו תלונה במשטרת ישראל (אפשר גם דרך מוקד 105/119 להכוונה). מספר תיק עוזר גם מול חברת האשראי.
- דווחו לרשות להגנת הצרכן. הרשות להגנת הצרכן ולסחר הוגן מטפלת בהונאות מסחר; דיווח מסייע גם למנוע נפגעים נוספים.
צ׳קליסט מבצעי הסייל: שופינג בטוח בעונת ההנחות
בלאק פריידיי, סוף עונה ומבצעי חגים הם השיא של הונאות הקניות — יותר תנועה, יותר לחץ, יותר מודעות ממומנות. שמרו את הרשימה הזו וחזרו אליה לפני כל קנייה:
- היכנסו לאתר של המותג ישירות (הקלידו את הכתובת), לא דרך מודעה או קישור בהודעה.
- שלמו בכרטיס אשראי — לא בביט, לא בהעברה — כשקונים מספק שאינכם מכירים.
- חשדו במחיר שנמוך משמעותית מכל מקום אחר. אם זה טוב מדי מכדי להיות אמיתי — זה לא אמיתי.
- בדקו פרטי חברה (ח.פ, כתובת) ודירוגים מחוץ לאתר לפני שמשלמים.
- במרקטפלייס — שלמו רק במפגש, כשהפריט בידכם. התעלמו מ״שליח שאשלח״ ומ״בקשת תשלום״.
- אל תלחצו על קישורי ״דמי מכס״ או ״אימות תשלום״ ב-SMS או בצ׳אט. גשו לפלטפורמה ישירות.
- הפעילו התראות עסקה מיידיות באפליקציית האשראי — כך תזהו חיוב חשוד בשנייה שהוא קורה.
השורה התחתונה
קניות ברשת הן בטוחות לחלוטין ברוב המכריע של המקרים — כל עוד משנים שני הרגלים. הראשון: לא נכנסים לאתר דרך מודעה או הודעה, אלא ישירות. השני, והחשוב מכולם: משלמים באמצעי שמגן עליכם. כרטיס אשראי הופך אתכם מקורבן חסר אונים ללקוח עם זכויות — עם יכולת לעצור תשלומים, להכחיש עסקה ולהגביל אחריות בחוק. ביט והעברה בנקאית, לעומת זאת, הם מזומן דיגיטלי: מהירים, נוחים, ובלתי הפיכים. ההבחנה הזו לבדה מונעת את הרוב המוחלט של הנזק. הזירה משתכללת — אבל גם הכלים שלכם, אם תזכרו את הכללים הפשוטים האלה בכל פעם שאתם על סף ״לשלם עכשיו״.
Cybertis היא חברת ייעוץ עצמאית לאבטחת מידע ופרטיות. אנחנו מלווים עסקים ישראלים בהגנה על הלקוחות והנתונים שלהם — מהקשחת אתר המסחר ועד עמידה בדרישות תיקון 13. יש לכם שאלה על אבטחה או פרטיות? דברו איתנו.
צרו קשר עם Cybertis*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ משפטי או מקצועי מחייב. זכויות הצרכן תלויות בנסיבות הספציפיות ובנוסח החוק והתקנות במועד האירוע, ומחייבות בחינה פרטנית.*