8 סימנים שהעסק שלכם כבר נפרץ — ומה לעשות בשעה הראשונה
לפי IBM, חולפים בממוצע 181 ימים עד שארגון מזהה שנפרץ — והתוקף מנצל כל יום מהם. איך נראים הסימנים המוקדמים בתיבת המייל, בחשבונות ובמחשבים, מה עושים בשעה הראשונה בלי להשמיד ראיות, ומתי האירוע הופך לחובת דיווח מיידית לפי תיקון 13.
שיחת טלפון ביום שלישי בבוקר. ספק ותיק על הקו: ״קיבלנו מכם אתמול מייל שמבקש להעביר את התשלום הבא לחשבון בנק חדש. רק רצינו לוודא שזה אתם.״ זה לא אתם. אתם פותחים את תיקיית ״פריטים שנשלחו״ — והיא ריקה. מישהו יושב בתוך תיבת המייל של העסק, שולח הודעות בשמכם ומוחק אחריו את העקבות. וכנראה שהוא לא נכנס אתמול.
בניגוד לדימוי הקולנועי, פריצה לעסק היא כמעט אף פעם לא אירוע של רגע. תוקפים נכנסים בשקט, מתבססים, לומדים את העסק — מי מאשר תשלומים, מתי יוצאות חשבוניות, איך נראית התכתובת עם הבנק — ורק אז תוקפים. לפי דוח Cost of a Data Breach של IBM ל-2025, מחזור החיים הממוצע של פרצת מידע נמשך 241 ימים — ומתוכם 181 ימים בממוצע חולפים רק עד שהארגון מזהה שנפרץ. במילים אחרות: רוב הנזק נעשה בתקופה שבה הכול נראה תקין. החדשות הטובות — התקופה השקטה הזו משאירה סימנים. מי שיודע לקרוא אותם מגלה את הפריצה חודשים לפני שהיא הופכת לנזק אמיתי.
גישה שקטה לתיבת מייל עסקית שווה לתוקף הרבה יותר מפעולה מיידית: הוא ממפה את ספקי העסק ולקוחותיו, אוסף חשבוניות אמיתיות, ומחכה לעסקה גדולה כדי להחליף בה את פרטי חשבון הבנק. התופעה רחוקה מלהיות שולית בישראל — מערך הסייבר הלאומי קיבל בשנת 2025 כ-26.5 אלף דיווחים במוקד 119, עלייה של 55% לעומת 2024, כשפישינג — שער הכניסה הנפוץ לפריצות כאלה — היה סוג הדיווח השכיח ביותר.
שמונת הסימנים שצריכים להדליק נורה אדומה
הסימנים הבאים חוזרים שוב ושוב באירועים שאנחנו נקראים אליהם. אף אחד מהם לבדו הוא לא הוכחה חותכת — אבל כל אחד מהם מחייב בדיקה עוד היום, ושניים-שלושה יחד הם כבר חזקה של ממש.
1. לקוחות וספקים מקבלים מכם מיילים מוזרים
הסימן הקלאסי, ולרוב הוא מגיע מבחוץ: לקוח שואל על קישור מוזר ששלחתם, ספק מתפלא על בקשה שלא בסגנון שלכם. תוקף שמחזיק בתיבה שלכם משתמש בה כדי לתקוף את אנשי הקשר שלכם — כי מייל מכתובת אמיתית ומוכרת עוקף כל חשדנות. שימו לב במיוחד לתיקיית ״פריטים שנשלחו״ ריקה או חסרה: תוקפים מוחקים את ההודעות ששלחו כדי שלא תבחינו.
2. חוקים והעברות אוטומטיות שלא יצרתם בתיבת המייל
זהו אחד הממצאים הנפוצים ביותר בחקירות של השתלטות על תיבות: חוק (Rule) שמעביר אוטומטית כל מייל שמכיל ״חשבונית״, ״תשלום״ או ״invoice״ לכתובת חיצונית, או מסתיר תשובות של לקוחות בתיקייה נידחת כמו RSS או ארכיון. כך התוקף מנהל התכתבות בשמכם בלי שתראו אותה. בדיקת חוקי התיבה וה-Forwarding אורכת שתי דקות — ורוב בעלי העסקים מעולם לא פתחו את המסך הזה.
3. התחברויות ממקומות וממכשירים שאתם לא מזהים
גם Google Workspace וגם Microsoft 365 מציגים יומן פעילות: מאילו מכשירים, מאילו כתובות IP ומאילו מדינות התחברו לחשבון. התחברות מחו״ל בשלוש לפנות בוקר, מכשיר שלא מוכר לכם, או ניסיונות כניסה חוזרים — כולם מחייבים בירור. חשוב לסייג: עובד שמשתמש ב-VPN יכול להופיע כמתחבר ממדינה אחרת, אז בדקו לפני שנבהלים. אבל אם אין הסבר — יש בעיה.
4. חשבונות שפתאום נעולים — או סיסמה ש״לא נכונה״
אם סיסמה שעבדה אתמול מסרבת לעבוד היום, ואפשרויות השחזור (טלפון, מייל משני) השתנו בלי ידיעתכם — ייתכן שהתוקף סיים את שלב האיסוף ועבר להשתלטות מלאה: החליף סיסמה ופרטי שחזור כדי לנעול אתכם בחוץ. בשלב הזה כל דקה קריטית, כי הנעילה מקדימה בדרך כלל את המכה עצמה — שליחת הונאות בשמכם או משיכת מידע.
5. מחשבים איטיים ותהליכים שאתם לא מזהים
מחשב שהאט משמעותית בלי סיבה, מאוורר שעובד במלוא הכוח כשהמסך בכלל כבוי, תהליכים לא מוכרים שצורכים מעבד — אלה יכולים להעיד על נוזקה שרצה ברקע: כורה מטבעות, כלי שליטה מרחוק או תוכנה שאוספת סיסמאות. מחשב איטי הוא לא תמיד פריצה, אבל מחשב איטי + עוד סימן מהרשימה הזו — כן.
6. האנטי-וירוס הושבת — ולא אתם כיביתם אותו
אחת הפעולות הראשונות של נוזקות מתקדמות היא לנטרל את ההגנות: לכבות את ה-Defender או האנטי-וירוס, להוסיף תיקיות לרשימת החרגות, לבטל עדכונים אוטומטיים. אם גיליתם שההגנה כבויה ואף אחד בעסק לא כיבה אותה — התייחסו לזה כאל אירוע, לא כאל תקלה.
7. הודעות איפוס סיסמה שלא ביקשתם
מייל ״ביקשת לאפס את הסיסמה?״ שלא ביקשתם פירושו שמישהו מנסה להיכנס לחשבון — או גרוע מזה: שכבר יש לו שליטה בתיבה והוא מאפס דרכה סיסמאות לשירותים אחרים (בנק, הנהלת חשבונות, ענן). התיבה העסקית היא מפתח-אב לכל החשבונות שמקושרים אליה. ואם הודעות איפוס מגיעות ונעלמות תוך שניות — חזרו לסימן מספר 2.
8. ספק או הבנק מדווחים על בקשה לשינוי פרטי תשלום
כשגורם חיצוני מקבל ״מכם״ בקשה לעדכן חשבון בנק בחשבונית — זה כבר לא סימן מוקדם, זה שלב המכה של הונאת ה-BEC (Business Email Compromise). וזה עובד גם בכיוון ההפוך: בקשה כזו ״מספק שלכם״ עשויה להעיד שהספק הוא זה שנפרץ. הכלל פשוט: כל שינוי בפרטי תשלום מאומת בטלפון, במספר שהיה לכם קודם — אף פעם לא במספר שמופיע במייל. הרחבנו על התרחיש הזה במדריך על הונאת מנכ״ל והחלפת חשבונית.

איפה בודקים כל סימן — טבלת עבודה מהירה
| הסימן | איפה בודקים מיד |
|---|---|
| מיילים מוזרים ללקוחות | תיקיית ״פריטים שנשלחו״ + שיחה עם מי שדיווח |
| חוקי תיבה והעברות | Outlook: Rules / Gmail: Filters + Forwarding |
| התחברויות זרות | יומן הפעילות של Microsoft 365 / Google Workspace |
| נעילה מחוץ לחשבון | פרטי שחזור: טלפון ומייל משני שהוגדרו בחשבון |
| מחשב איטי / תהליכים זרים | Task Manager / Activity Monitor + עדכון סריקה |
| אנטי-וירוס כבוי | מסך ההגנות + רשימת ההחרגות (Exclusions) |
| איפוסי סיסמה לא מוזמנים | מקור ההודעה (לא ללחוץ על קישורים!) + יומן כניסות |
| בקשת שינוי פרטי תשלום | אימות טלפוני עם הספק במספר מוכר מראש |
השעה הראשונה: שישה צעדים, בסדר הזה
גיליתם סימן שהתאמת? המטרה בשעה הראשונה כפולה: לנתק את התוקף מהמערכות — ובאותה נשימה לשמר ראיות. שתי המטרות האלה מתנגשות אם פועלים בפזיזות, ולכן הסדר חשוב:
- החליפו סיסמאות — ורק ממכשיר נקי. מחשב או טלפון שאין חשד שנפגעו. מתחילים בתיבת המייל הראשית (היא מפתח-האב), ממשיכים לבנק, להנהלת החשבונות ולשירותי הענן. החלפת סיסמה ממחשב נגוע פשוט מוסרת לתוקף את הסיסמה החדשה.
- נתקו את כל ההתחברויות הפעילות. גם ב-Google וגם ב-Microsoft יש פעולת ״Sign out of all sessions״ — היא מעיפה את התוקף החוצה גם אם הוא מחובר כרגע. בטלו גם סיסמאות אפליקציה (App Passwords) והרשאות של אפליקציות צד שלישי שאינכם מזהים.
- הפעילו אימות רב-שלבי (MFA) על כל חשבון קריטי. לפי מיקרוסופט, MFA חוסם למעלה מ-99.9% ממתקפות ההשתלטות על חשבונות. אם היה פעיל — הפריצה הזו כנראה לא הייתה קורית; עכשיו הוא ימנע את החזרה של התוקף.
- בדקו ונקו חוקי תיבה, העברות והרשאות גישה. גם אחרי החלפת סיסמה, חוק העברה שהתוקף השאיר ממשיך לשלוח לו כל מייל. מחקו חוקים זרים, בטלו Forwarding חיצוני והסירו הרשאות Delegate שלא אתם נתתם.
- בודדו מחשבים חשודים — בלי לפרמט. נתקו אותם מהרשת ומה-Wi-Fi והשאירו אותם בצד. אל תמחקו, אל תתקינו מחדש, אל תריצו ״ניקוי״ — הדיסק הזה הוא הראיה המרכזית לחקירה, לביטוח ולדיווח הרגולטורי.
- תעדו ודווחו. צלמו מסכים, רשמו שעות ומה נמצא איפה. אם מעורבים כספים — התקשרו לבנק מיד; ייתכן שאפשר עוד לעצור העברה. במקביל דווחו למוקד 119 של מערך הסייבר הלאומי, שמסייע לעסקים בזמן אירוע ללא עלות.
הדחף הטבעי הוא ״לנקות הכול ולהתחיל מחדש״. בשטח, פרמוט מוקדם הוא הטעות שאנחנו פוגשים הכי הרבה: הוא משמיד את הראיות שמאפשרות להבין איך התוקף נכנס, מה הוא לקח והאם הוא עדיין בפנים — בדיוק המידע שחוקרי האירוע, חברת הביטוח והרגולטור ידרשו. קודם מבודדים ומשמרים; מפרמטים רק אחרי שהתמונה ברורה ובליווי מקצועי.

מתי הפריצה הופכת לאירוע שחובה לדווח עליו
מאז כניסתו לתוקף של תיקון 13 לחוק הגנת הפרטיות ב-14 באוגוסט 2025, לשאלה ״האם לדווח?״ יש גם ממד רגולטורי חד. תקנות אבטחת מידע קובעות שמאגרי מידע ברמת אבטחה בינונית או גבוהה חייבים לדווח לרשות להגנת הפרטיות על אירוע אבטחה חמור באופן מיידי עם גילויו — ולדווח גם על הצעדים שננקטו בעקבותיו. אירוע חמור הוא, בקווים כלליים, שימוש במידע מהמאגר בלא הרשאה או פגיעה בשלמות המידע — ובמאגרים ברמה בינונית, כשמדובר בחלק מהותי מהמאגר. עסק שמחזיק מידע רגיש על לקוחות — מידע רפואי, פיננסי, ביומטרי — נמצא ברוב המקרים בגדר הרמות האלה.
וזה לא נשאר בגדר המלצה: לפי מדרג העיצומים של תיקון 13, אי-דיווח על אירוע אבטחה חמור מסווג בדרגת החומרה הגבוהה ביותר של הפרות תקנות האבטחה — עיצום של 80,000 ₪ למאגר ברמת אבטחה בינונית ו-320,000 ₪ למאגר ברמה גבוהה, וכפל הסכומים במאגרים עם יותר ממיליון נושאי מידע. הדיווח עצמו מוגש בטופס מקוון של משרד המשפטים, והרשות מוסמכת גם להורות לכם ליידע את האנשים שהמידע עליהם נחשף. פירטנו את כל תרחישי הדיווח, הטפסים והלוחות זמנים במדריך הייעודי על חובת הדיווח על אירועי אבטחה בישראל. דיווח למוקד 119 של מערך הסייבר הוא ערוץ נפרד — וולונטרי, אבל מומלץ בחום: זה הגוף שיעזור לכם בזמן אמת.
מתי מפסיקים לבד ומזמינים אנשי מקצוע
את שישת צעדי השעה הראשונה כל עסק יכול ורצוי לבצע בעצמו. אבל יש קווים אדומים שמעבר להם ניסיון ״לסגור את זה לבד״ רק מעמיק את הנזק: כופרה שהצפינה קבצים, חשד לדליפת מידע על לקוחות, תוקף שחוזר גם אחרי החלפת סיסמאות (סימן לאחיזה עמוקה יותר במערכות), או כל אירוע שמערב כסף שכבר יצא. במצבים כאלה נדרשים חקירת אירוע (Incident Response) מקצועית, שחזור מבוקר — ולעיתים ליווי מול הרשות להגנת הפרטיות, הבנק והמבטח. עסק שאין לו איש אבטחה פנימי לא חייב להעסיק אחד במשרה מלאה: שירות CISO חיצוני נותן כתובת מקצועית קבועה שמכירה את העסק עוד לפני שהאירוע קורה — וזה בדיוק ההבדל בין תגובה של שעה לתגובה של שבוע.
צ׳קליסט לשבוע הקרוב — עוד לפני הפריצה הבאה
- עברו היום על חוקי התיבה וה-Forwarding בכל תיבות המייל של העסק — ומחקו כל מה שלא אתם יצרתם.
- פתחו את יומן הפעילות של Microsoft 365 / Google Workspace וסרקו את ההתחברויות של החודש האחרון.
- הפעילו MFA על מייל, בנקאות, הנהלת חשבונות ושירותי ענן — לכל העובדים, לא רק למנהלים.
- קבעו נוהל קבוע: כל שינוי בפרטי תשלום של ספק מאומת בטלפון במספר מוכר מראש.
- בדקו שהאנטי-וירוס פעיל ומתעדכן בכל העמדות, ושאף תיקייה חשודה לא נוספה להחרגות.
- כתבו עמוד אחד של ״מי מתקשר למי״ לרגע אמת — ואם עוד אין לכם, התחילו מהמדריך שלנו לבניית תוכנית תגובה לאירוע סייבר לעסק קטן.
השורה התחתונה
הנתון החשוב במאמר הזה הוא לא 241 הימים של מחזור פרצה ממוצע — אלא 181 הימים שבהם ארגון ממוצע לא יודע שהוא נפרץ. בתקופה הזו התוקף שקוף למי שלא מחפש, וגלוי למדי למי שכן: חוק תיבה זר, התחברות ממדינה זרה, אנטי-וירוס שכבה מעצמו. שמונת הסימנים שלמעלה הם רשימת חיפוש שכל עסק יכול לעבור עליה ברבע שעה בחודש — ונוהל השעה הראשונה הוא ההבדל בין אירוע מביך לאסון עסקי. אל תחכו לטלפון מהספק.
חוששים שמשהו כבר קורה אצלכם — או רוצים שמישהו מקצועי יסתכל לפני שזה קורה? Cybertis מלווה עסקים ישראליים בבדיקת חשד לפריצה, בבניית נוהל תגובה ובליווי אבטחה שוטף במודל CISO חיצוני. שיחת הייעוץ הראשונה עלינו.
לשירות CISO חיצוני*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ מקצועי או משפטי מחייב. חובות הדיווח בפועל תלויות ברמת האבטחה של המאגר, בסוג המידע ובנסיבות האירוע, ומחייבות בחינה פרטנית.*