דלגו לתוכן
אבטחה לעסק12 במרץ 202611 דק׳ קריאה

הנדסה חברתית מעבר לפישינג: שיחות טלפון, SMS וביקורים במשרד

מסנן הדוא״ל לא יציל אתכם משיחת טלפון. מפת הערוצים המלאה — וישינג, סמישינג, קוד QR ותקיפה פיזית — המנופים הפסיכולוגיים שתוקפים מנצלים, ותרבות האימות שעוצרת אותם. כולל תסריטי תרגול וכרטיס דגלים אדומים.

ר.ש
רותם שיינס · מנכ״ל ובעלים
מומחה אבטחת מידע ופרטיות · Cybertis · מעל 10 שנות ניסיון

שתיים אחר הצהריים, מחלקת הכספים. הטלפון מצלצל. בצד השני קול נעים ומאורגן: ״שלום, מדבר דני מהתמיכה של ספק הסליקה. אנחנו רואים שגיאת התאמה בחיוב האחרון שלכם, אני צריך שתאשרי לי מול המערכת את ארבע הספרות האחרונות של הכרטיס העסקי כדי לשחרר את החיוב לפני סוף היום.״ הוא יודע את שם החברה, את שם מנהל הכספים, ואפילו את שם ספק הסליקה האמיתי שלכם. הוא לחוץ בדיוק במידה. הפילטר של המייל — שהשקעתם בו כסף — לא ראה כלום, כי לא היה מייל. זו הנדסה חברתית, והיא הרבה יותר רחבה מפישינג. מסנן הדוא״ל לא יציל אתכם משיחת טלפון.

רגע, מה זה הנדסה חברתית?

הנדסה חברתית (Social Engineering) היא כל טכניקה שבה תוקף מפעיל בני אדם — לא מערכות — כדי לקבל גישה, מידע או כסף. במקום לפרוץ חומת אש, התוקף פורץ את שיקול הדעת של העובד: הוא בונה אמון, מייצר לחץ, ומנצל את הנטייה האנושית הבסיסית לעזור ולציית. פישינג במייל הוא רק ערוץ אחד מתוך כמה. הערוצים האחרים — טלפון, SMS, קוד QR ואפילו כניסה פיזית למשרד — עוקפים כמעט לגמרי את ההגנות הטכניות שרוב העסקים בנו.

הנתונים מראים עד כמה הזווית האנושית מרכזית. לפי דוח Verizon DBIR 2026, המרכיב האנושי מעורב ב-62% מהפרצות — כלומר בקירוב שני שלישים מהאירועים כוללים אדם שנפל בפח, לחץ במקום הלא נכון או מסר מידע שלא היה צריך. בישראל, לפי סיכום מערך הסייבר הלאומי ל-2025 (כפי שדווח בכלכליסט), פישינג היה סוג הדיווח הנפוץ ביותר — כ-13,700 דיווחים, כ-52% מכלל וקטורי התקיפה. ומעל הכול: כ-42% מאזרחי ישראל נחשפו ישירות להונאה דיגיטלית לפי נתוני המערך שצוטטו במעריב. התוקפים למדו שהחוליה הרכה ביותר היא לא השרת — היא האדם שעונה לטלפון.

מפת הערוצים: הנדסה חברתית מעבר לדוא״ל

כדי להתגונן צריך קודם כול להכיר את השטח. הנדסה חברתית מגיעה בחמישה ערוצים עיקריים, כל אחד עם ההיגיון שלו — ולכל אחד יש דוגמאות אמיתיות שכבר פגעו בעסקים ובאזרחים.

מפת ערוצי ההנדסה החברתית מעבר לדוא״ל — וישינג, סמישינג, קוד QR, תקיפה פיזית ופרטקסטינג
חמשת ערוצי ההנדסה החברתית ומאפייני התקיפה של כל אחד. מקורות: Verizon DBIR, בנק ישראל, מערך הסייבר, Barracuda.

וישינג (Vishing) — הונאה בטלפון

וישינג (Voice Phishing) הוא שיחת טלפון שמתחזה לגורם לגיטימי: הבנק, ספק הסליקה, ״התמיכה הטכנית של מיקרוסופט״, או מחלקת ה-IT הפנימית שלכם. בנק ישראל, בהודעת הפיקוח על הבנקים ממאי 2025, מנה במפורש את הוישינג — שיחות המתחזות לנציגי בנק — בין שיטות ההונאה הבולטות ב-2024, לצד פלטפורמות השקעה מזויפות, פישינג ב-SMS, החלפת SIM ודיפ-פייק. בישראל התופעה קיבלה גם צורה ייחודית: גל ״המתקשרים מהסייבר״, שבו מתחזים לשוטר או לנציג מערך הסייבר ומבקשים מהקורבן את קוד האימות שהתקבל ב-SMS — כדי להשתלט על חשבון הוואטסאפ או להעביר כספים. ההמלצה הרשמית של המשטרה ומערך הסייבר חדה: לעולם אין למסור קוד אימות מ-SMS, גם אם המבקש מציג עצמו כשוטר.

בהקשר העסקי, הווריאציה המסוכנת ביותר היא ״התמיכה הטכנית״ שמתקשרת לעובד, מבקשת ממנו להתקין כלי גישה מרחוק (״כדי שנוכל לתקן את הבעיה יחד״), ותוך דקות מקבלת שליטה על התחנה. הפילטר של המייל לא רלוונטי כאן בכלל.

סמישינג (Smishing) — הונאה ב-SMS

סמישינג הוא פישינג במסרון. הנפח בישראל התפוצץ: לפי נתוני מערך הסייבר שצוטטו במעריב, היקף הודעות ה-SMS המזויפות עלה ביותר מ-340% במהלך 2025, ובסך הכול זוהו מעל 43,000 קישורים זדוניים שנשלחו לישראלים באותה שנה. הגופים המחוזים ביותר: בנקים וחברות אשראי, שירותי דואר ומשלוחים (דואר ישראל), חברות תקשורת וגופי ממשלה כמו רשות המסים. עבור עסק, סמישינג הוא לא רק בעיה של הלקוחות — הוא מגיע גם למכשירים של העובדים, לרוב עם ״עדכון חבילה״, ״חשבונית ממתינה״ או ״אימות פרטי תשלום״. מדריך מלא להתגוננות אישית מהתופעה כתבנו בנפרד: ראו הונאות SMS ישראליות — מדריך ההישרדות.

קוד QR (Quishing) — הפח שסורקים בטלפון

קווישינג (Quishing) הוא הצעיר במשפחה, והוא מנצל פרצה מבנית: קוד QR הוא בסך הכול קישור מוסתר, ורוב האנשים סורקים אותו בלי לחשוב. בעולם הפיזי, ב-2024 דווח בקליפורניה על גל שבו נדבקו קודי QR מזויפים על כ-150 מדחני חנייה — ממש לצד המדבקות הלגיטימיות של אפליקציות התשלום — שהובילו נהגים לאתר סליקה מזויף שגנב את פרטי כרטיס האשראי. בעולם הדיגיטלי, חברת האבטחה Barracuda זיהתה באמצע 2024 יותר מחצי מיליון מיילים של פישינג שבהם קוד ה-QR הזדוני מוטמע בתוך קובץ PDF מצורף — למשל ״חשבונית״ או ״מסמך משאבי אנוש״ — בדיוק כדי לעקוף את סינון הדוא״ל, שלא יודע לקרוא מה מסתתר בתוך תמונת ה-QR. הקורבן סורק בטלפון הפרטי, שיוצא לגמרי מטווח ההגנות הארגוניות.

תקיפה פיזית — כשהתוקף נכנס בדלת

לא כל הנדסה חברתית נעשית מרחוק. הערוץ הפיזי הוא לעיתים היעיל ביותר, כי נוכחות אנושית מייצרת אמון מיידי. הטכניקות המרכזיות:

  • Tailgating (רכיבה על הזנב). התוקף נכנס בעקבות עובד דרך דלת עם בקרת כניסה — בידיים מלאות קופסאות, מבקש בחיוך ״תחזיק לי רגע את הדלת?״. מנומסות אנושית פשוטה פותחת את המשרד.
  • ״הטכנאי של המדפסת״. מישהו מגיע עם אפוד, תג ופלאייר, מודיע שהוא בא לתחזק את המדפסת/המזגן/רשת התקשורת — ואף אחד לא מעז לעצור אותו כי ״מישהו בטח הזמין״.
  • USB Drop. התוקף מפזר דיסק-און-קי במגרש החניה או במטבחון. הסקרנות עושה את השאר: מישהו מחבר אותו למחשב כדי ״לראות של מי זה״, והתוכנה הזדונית נטענת.
  • Shoulder Surfing. הצצה מעבר לכתף בבית קפה או ברכבת — סיסמאות, מיילים, מסמכים חסויים שנפתחים על מסך גלוי במרחב ציבורי.

אנטומיה של פרטקסטינג: איך התוקף לומד עליכם

כל התרחישים למעלה חולקים מרכיב אחד: פרטקסט (Pretext) — סיפור כיסוי אמין. תוקף מקצועי לא מרים טלפון בלי הכנה. הוא בונה את הסיפור משלושה מרכיבים: סמכות (״אני מה-IT / מהבנק / מההנהלה״), דחיפות (״זה חייב לקרות עכשיו, לפני שהמערכת ננעלת״), והקשר אמיתי — הפרטים הקטנים שגורמים לסיפור להישמע נכון: שם המנהל, שם ספק אמיתי, פרויקט שבאמת רץ אצלכם.

מאיפה מגיע ההקשר? מ-OSINT — איסוף מודיעין ממקורות גלויים. לוקח לתוקף חצי שעה ולינקדאין כדי למפות את המבנה הארגוני שלכם: מי המנכ״ל, מי מנהל הכספים, מי חדש בתפקיד (החוליה הרכה — עדיין לא מכיר את כולם), מי בחופשה (״המנכ״ל בחו״ל ולא זמין, ולכן ביקש שאני אטפל בזה״). האתר שלכם מספק את שמות הספקים והשותפים; דף ״הצטרפו אלינו״ חושף אילו טכנולוגיות אתם מריצים; פוסט חגיגי על ״לקוח חדש״ נותן לתוקף עילה מושלמת לשיחה. שום דבר מזה אינו סודי — וזו בדיוק הבעיה. ככל שהארגון חשוף ושקוף יותר ברשת, כך קל יותר לבנות עליו פרטקסט משכנע.

האדיבות היא הפרצה

עובדים טובים נופלים בפח דווקא כי הם נחמדים. הרצון לעזור, להיות יעיל, לא ליצור מבוכה ולא ״לעשות בעיות״ למי שנשמע סמכותי — אלו בדיוק המנופים שהתוקף מפעיל. לכן ההגנה הנכונה אינה ״להיות חשדנים כלפי כולם״, אלא לבנות נוהל שמאפשר לעובד לעצור ולאמת בלי להרגיש גס רוח. ״תן לי להתקשר אליך בחזרה״ צריך להיות מדיניות, לא חוצפה.

ארבעת המנופים הפסיכולוגיים — ותסריט לכל אחד

מאחורי כל הונאת הנדסה חברתית עומדים אותם מנופים פסיכולוגיים שנחקרו לעומק. להכיר אותם זה חצי מההגנה — כי ברגע שאתם מזהים שמישהו לוחץ על אחד מהם, זה עצמו הדגל האדום.

ארבעת המנופים הפסיכולוגיים בהנדסה חברתית — סמכות, דחיפות, הדדיות והוכחה חברתית — וכרטיס נגד-מהלכים לכל אחד
המנופים הפסיכולוגיים והנגד-מהלך המעשי לכל אחד.
  • סמכות (Authority). אנחנו מצייתים למי שנשמע בכיר. *התסריט:* ״מדבר המנכ״ל. אני באמצע פגישה מול משקיע ואני צריך שתעבירי עכשיו 48,000 ש״ח לספק החדש, אשלח פרטים ב-SMS. תטפלי בזה בשקט.״ *הנגד-מהלך:* סמכות אמיתית לא נפגעת מאימות. אמת בערוץ נפרד — התקשר למנכ״ל למספר המוכר.
  • דחיפות (Urgency). לחץ זמן משתק שיקול דעת. *התסריט:* ״החשבון שלכם ננעל בעוד 10 דקות בגלל פעילות חשודה. אני צריך את הקוד שקיבלת עכשיו כדי לבטל את הנעילה.״ *הנגד-מהלך:* דחיפות מלאכותית היא כמעט תמיד סימן להונאה. ארגון אמיתי ייתן לך זמן. עצור, נשום, אמת.
  • הדדיות (Reciprocity). כשעושים לנו טובה, אנחנו מרגישים חייבים להחזיר. *התסריט:* ״עזרתי לך אתמול עם התקלה במחשב, זוכר? עכשיו אני רק צריך שתאשר לי גישה מהירה למערכת כדי לסגור את הקריאה.״ *הנגד-מהלך:* טובה אמיתית לא מגיעה עם דרישת גישה. הפרד בין תודה לבין אישור הרשאות.
  • הוכחה חברתית (Social Proof). אם כולם עשו את זה, גם אני. *התסריט:* ״כל שאר המחלקה כבר עדכנו את הפרטים בקישור ששלחתי, את היחידה שנשארה — זה ייקח דקה.״ *הנגד-מהלך:* ״כולם עשו״ אינו אימות. בדוק ישירות מול הגורם שלכאורה יזם את הבקשה.

ההגנה: תרבות אימות, לא חשדנות

ההגנה הטובה ביותר מהנדסה חברתית אינה טכנולוגית — היא תרבותית. הליבה שלה היא עיקרון אחד: אימות מחוץ לפס (Out-of-Band Verification). כל בקשה רגישה — העברת כסף, שינוי פרטי חשבון בנק של ספק, מסירת אישורי גישה, התקנת תוכנה — מאומתת בערוץ נפרד מזה שבו הגיעה. אם הבקשה הגיעה בטלפון, מאמתים במייל או בפגישה; אם הגיעה במייל, מאמתים בשיחה למספר מוכר (לא למספר שרשום במייל!). זה בדיוק הנוהל שמונע הונאת מנכ״ל והחלפת חשבונית (BEC), שבה תוקף מזייף בקשת תשלום — ואותו עיקרון תקף לכל ערוץ.

״תן לי להתקשר אליך בחזרה״ — כמדיניות

המשפט הזה הוא הכלי החזק ביותר בארגז. הפכו אותו לנוהל רשמי: לכל בקשה רגישה שמגיעה בטלפון, העובד מנתק ומתקשר בחזרה למספר המוכר של הגורם — לא למספר שהמתקשר מסר. כשזה מדיניות כתובה, העובד לא מרגיש שהוא מעליב אף אחד: הוא פשוט ממלא נוהל. תוקף אמיתי יתפוגג ברגע שתאמרו ״אחזור אליך״; גורם לגיטימי יבין לחלוטין.

נהלים מעשיים לעסק קטן

  • נוהל מבקרים. גם משרד של עשרה אנשים צריך כלל: כל אורח מתלווה אליו עובד, נרשם ביומן ביקורים, וקבלן/טכנאי חיצוני מזוהה מול מי שהזמין אותו לפני שהוא נכנס לאזורים רגישים. ״לא הזמנתי טכנאי״ שווה עצירה, לא מבוכה.
  • שולחן נקי (Clean Desk). מסמכים רגישים לא נשארים על השולחן, מסכים ננעלים בעת יציאה, סיסמאות לא נדבקות למסך. במרחב פתוח — מסך פרטיות וישיבה שלא חושפת את הצג למעברים.
  • מה אומרים לצוות הקבלה. אנשי הקבלה והמזכירות הם קו ההגנה הראשון — והיעד המועדף על תוקפים. הנחו אותם במפורש: לא למסור שמות, טלפונים או פרטי לו״ז של מנהלים בטלפון; לאמת זהות ספקים; ולהעביר כל בקשה חריגה לאיש קשר קבוע — בלי להתנצל.
  • ניהול הרשאות גישה מרחוק. אף עובד לא מתקין כלי שיתוף מסך או גישה מרחוק לבקשת מתקשר. נקודה.

שלושה תסריטי תרגול (Tabletop) לבדיקת הצוות

הדרך היחידה לדעת אם הנהלים עובדים היא לתרגל. תרגיל שולחן (Tabletop) פשוט — עשר דקות בישיבת צוות — שווה יותר מעשרה נהלים כתובים. הנה שלושה תסריטים מוכנים להרצה. הציגו את התרחיש, ושאלו: ״מה היית עושה עכשיו?״

התסריטמה בודקיםהתשובה הנכונה
מנהל הכספים מקבל מייל ״מהמנכ״ל״: להעביר דחוף 60,000 ש״ח לספק חדש, המנכ״ל בטיסה ולא זמין בטלפון.האם קיים אימות מחוץ לפס? האם דחיפות + חוסר זמינות מדליקים נורה?לא מעבירים. מאמתים בערוץ נפרד (הודעה למנכ״ל, אישור גורם שני). ״לא זמין בטלפון״ הוא עצמו דגל אדום.
עובד מקבל שיחה מ״התמיכה של ספק התוכנה״: יש עדכון אבטחה קריטי, צריך להתקין כעת כלי גישה מרחוק.האם העובד מזהה בקשת גישה חשודה? האם הוא יודע שאסור להתקין?מנתקים. מתקשרים לספק דרך מספר רשמי מהאתר. לעולם לא מתקינים כלי גישה מרחוק לבקשת מתקשר.
אדם עם אפוד ותג מגיע לקבלה: ״באתי לתחזוקת שרת התקשורת, קבעו איתי מול ה-IT.״ אין רישום מוקדם.האם צוות הקבלה מאמת מול מי שהזמין? האם קיים נוהל מבקרים?לא מכניסים לאזור רגיש לפני אימות טלפוני מול איש הקשר הפנימי שאחראי. אין אישור — אין כניסה.

כרטיס דגלים אדומים — לתלות ליד הטלפון

  • דחיפות קיצונית — ״זה חייב לקרות עכשיו, אחרת...״
  • בקשה לסודיות — ״אל תספר לאף אחד, זה בין שנינו.״
  • בקשה לקוד אימות / סיסמה / OTP — אף גורם לגיטימי לא יבקש זאת. אף פעם.
  • שינוי פרטי תשלום של ספק דרך מייל או טלפון בלבד.
  • בקשה להתקין תוכנה או לתת גישה מרחוק בעקבות שיחה נכנסת.
  • סמכות בלתי-ניתנת-לאימות — ״אני מההנהלה/הבנק/הסייבר״ בלי דרך לוודא.
  • חוסר זמינות מכוון — ״המנהל בחו״ל ולא ניתן להשיג אותו.״

צ׳קליסט ליישום השבוע

  1. כתבו נוהל אימות מחוץ לפס לכל בקשה כספית או שינוי פרטי תשלום — ופרסמו אותו לצוות.
  2. הפכו את ״אחזור אליך״ למדיניות רשמית, מגובה בהנהלה, כדי שעובדים לא יחששו להשתמש בה.
  3. הגדירו נוהל מבקרים בסיסי: ליווי, יומן ביקורים ואימות ספקים/טכנאים לפני כניסה.
  4. תדרכו את צוות הקבלה מה לא למסור בטלפון ולמי להעביר בקשות חריגות.
  5. החילו מדיניות שולחן נקי ונעילת מסך אוטומטית.
  6. אסרו במפורש התקנת כלי גישה מרחוק לבקשת מתקשר — בכתב.
  7. צמצמו חשיפת OSINT: בדקו מה חושפים האתר ופרופילי הלינקדאין על המבנה הארגוני.
  8. הריצו את שלושת תסריטי ה-Tabletop בישיבת הצוות הקרובה.
  9. תלו את כרטיס הדגלים האדומים ליד עמדות שמקבלות שיחות ותשלומים.
  10. שלבו את הנושא בתוכנית מודעות רחבה יותר — ראו תוכנית מודעות אבטחה שעובדים לא שונאים.

השורה התחתונה

אפשר לקנות את מסנן הדוא״ל היקר בעולם, אבל הוא לא יענה לטלפון במקום מנהל הכספים שלכם. הנדסה חברתית מנצחת טכנולוגיה כי היא לא תוקפת אותה — היא תוקפת את האדם שמפעיל אותה. ההגנה, לכן, היא אנושית: תרבות שבה אימות הוא נורמה ולא חשד, שבה ״תן לי להתקשר אליך בחזרה״ נחשב מקצועיות ולא גסות, ושבה כל עובד — מהקבלה ועד ההנהלה — יודע לזהות את המנופים הפסיכולוגיים ברגע שמפעילים אותם עליו. את זה לא מתקינים; את זה בונים ומתרגלים.

Cybertis בונה לעסקים תוכניות מודעות והגנה מפני הנדסה חברתית — נהלי אימות, תרגולי Tabletop, סימולציות פישינג ווישינג, והדרכות מותאמות לצוות שלכם. נשמח למפות יחד את נקודות התורפה האנושיות בארגון.

דברו איתנו על מודעות אבטחה

*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ מקצועי מחייב. בניית תוכנית הגנה מפני הנדסה חברתית תלויה במאפייני הארגון ומחייבת בחינה פרטנית.*

תכנון מראש, לא תגובה בדיעבד

בואו נדבר על חוסן הסייבר של הארגון שלכם.

שיחת היכרות של 30 דקות עם בכיר/ה מהצוות שלנו. ללא מצגות מכירה וללא לחץ — רק תמונת מצב אמיתית של היכן אתם נמצאים ולאן כדאי להמשיך.

תגובה ראשוניתתוך 4 שעות
פגישת היכרותללא עלות וללא התחייבות
אופן ההתקשרותפרויקט נקודתי או התקשרות שוטפת
כתובת לאירוע פעילsoc@cybertis.co.il