וואטסאפ בטוח: אימות דו-שלבי, גיבויים והגנה מחטיפת חשבון
99% מהבוגרים בישראל בוואטסאפ — והמשטרה ומערך הסייבר מזהירים מגל השתלטויות שמתחיל בקוד אחד בן שש ספרות. כך עובדת חטיפת חשבון, אלו חמש ההגדרות שסוגרות את הדלת — אימות דו-שלבי, גיבוי מוצפן, פרטיות, הודעות נעלמות ומכשירים מקושרים — ומה עושים, צעד אחר צעד, אם החשבון כבר נחטף.
ההודעה מגיעה ממספר מוכר — חבר טוב, אולי דוד או שכנה: ״היי, שלחתי לך בטעות קוד ב-SMS, אתה יכול להעביר לי אותו?״ ואכן, שנייה קודם נחתה אצלכם הודעת SMS עם קוד בן שש ספרות מוואטסאפ. נשמע כמו טובה קטנה. אלא שהחבר שלכם לא ביקש כלום — החשבון שלו כבר נחטף, ומי שכותב לכם הוא התוקף. ברגע שתעבירו את הקוד, גם הוואטסאפ שלכם יחליף ידיים: אנשי הקשר, הקבוצות, התמונות בפרופיל — והיכולת לפנות בשמכם לכל מי שאתם מכירים ולבקש ״הלוואה דחופה״. משטרת ישראל ומערך הסייבר הלאומי הזהירו מגל השתלטויות בדיוק בתבנית הזו, כולל גרסה חצופה במיוחד: מתקשר שמציג את עצמו כשוטר או כנציג מערך הסייבר, ומבקש ״לאמת את זהותכם״ באמצעות הקוד שנשלח אליכם.
כי כולם שם. לפי סקר איגוד האינטרנט הישראלי מיולי 2025, 99% מהבוגרים בישראל משתמשים בוואטסאפ — יותר מיוטיוב, פייסבוק וכל פלטפורמה אחרת. בשביל נוכלים זה אומר דבר אחד: כל מספר טלפון ישראלי הוא כמעט בוודאות גם חשבון וואטסאפ, וכל חשבון חטוף פותח גישה ישירה לעשרות אנשי קשר שסומכים על השולח. לפי דיווחים על הדוח השנתי של מערך הסייבר, ב-2024 התקבלו כ-17,000 דיווחים על אירועי סייבר — עלייה של 24% לעומת 2023 — וכ-22% מהם עסקו בפריצות לחשבונות ברשתות חברתיות.
איך באמת חוטפים חשבון וואטסאפ — ולמה הכול מתחיל בקוד אחד
כדי להבין את ההונאה צריך להבין דבר אחד על וואטסאפ: הזהות שלכם היא מספר הטלפון, ואין סיסמה. כשמתקינים וואטסאפ במכשיר חדש ומזינים את המספר, וואטסאפ שולחת למספר הזה קוד רישום חד-פעמי בן שש ספרות ב-SMS. מי שמזין את הקוד — מקבל את החשבון. זהו. לתוקף לא צריך להיות שום דבר מתוחכם: לא נוזקה, לא פריצה לשרתים. מספיק שהוא יזין את המספר שלכם במכשיר שלו, וישכנע אתכם — בתואנה כלשהי — למסור לו את שש הספרות שקיבלתם.
התואנות משתנות, המנגנון זהה. הגרסה הנפוצה בישראל, לפי אזהרת המשטרה ומערך הסייבר, היא ״שלחתי לך קוד בטעות״ שמגיעה מחשבון של מכר שכבר נחטף — או שיחה ממתחזה לגורם רשמי. ברגע שהחשבון עבר לידי התוקף, מתחיל כדור השלג: הוא פונה לאנשי הקשר שלכם, מבקש העברות כספיות דחופות בביט או בפייבוקס, ומבקש מהם... בדיוק, את הקוד שנשלח אליהם — וכך חוטף גם אותם. חשוב להכיר גם את ההבחנה שמופיעה במרכז העזרה הרשמי של וואטסאפ: קוד הרישום שמגיע ב-SMS אינו ה-PIN של האימות הדו-שלבי — אלו שני מנגנונים שונים, ותכף נגיע לשני.
קוד בן שש ספרות מוואטסאפ לא מוסרים לאף אחד, לעולם — לא לחבר, לא ל״נציג שירות״ וגם לא למי שמציג את עצמו כשוטר. זו ההמלצה המפורשת של משטרת ישראל ומערך הסייבר: אף גורם רשמי לא יבקש מכם קוד אימות בטלפון. בקשה לקוד = ניסיון חטיפה. תמיד.
חמש הגדרות שהופכות חטיפה לכמעט בלתי אפשרית
החדשות הטובות: וואטסאפ כוללת את כל הכלים כדי לסגור את הדלת — הם פשוט כבויים כברירת מחדל. חמש ההגדרות הבאות לוקחות יחד כרבע שעה, ומכסות את שרשרת התקיפה כולה: מהרישום במכשיר זר, דרך הגיבויים בענן ועד המכשירים שכבר מחוברים לחשבון.

1. אימות דו-שלבי — ה-PIN שעוצר את החטיפה גם כשהקוד דלף
זו ההגדרה החשובה מכולן. אימות דו-שלבי (Two-Step Verification) מוסיף לחשבון PIN בן שש ספרות שאתם בוחרים, שיידרש בכל ניסיון לרשום את המספר שלכם במכשיר חדש. גם אם תוקף השיג את קוד הרישום מה-SMS — בלי ה-PIN הוא נתקע בחוץ. המסלול: הגדרות ← חשבון ← אימות דו-שלבי ← הפעלה. עד כמה גישה כזו אפקטיבית? כשגוגל צירפה אוטומטית יותר מ-150 מיליון משתמשים לאימות דו-שלבי, היא מדדה ירידה של 50% בחשבונות שנפרצו בקבוצה הזו — כך לפי הבלוג הרשמי של החברה.
בעת ההפעלה וואטסאפ תציע להוסיף כתובת מייל לשחזור — אל תדלגו. לפי מרכז העזרה הרשמי, מי ששכח את ה-PIN ולא הגדיר מייל ימתין שבעה ימים לפני שיוכל לאפס אותו, ואין דרך לקצר את ההמתנה. שימו לב לפרט קטן ומרגיז: וואטסאפ לא מאמתת את כתובת המייל בעת ההזנה בכל המקרים — הקלידו אותה בזהירות וודאו שיש לכם גישה אליה. מאז ההפעלה, וואטסאפ תבקש מכם מדי פעם להזין את ה-PIN כתזכורת, כדי שלא תשכחו אותו.
2. גיבוי מוצפן מקצה-לקצה — כי הצ׳אט מוצפן, הגיבוי לא
רוב המשתמשים מופתעים לגלות את הפער הזה: השיחות בוואטסאפ מוצפנות מקצה-לקצה, אבל הגיבוי שעולה ל-Google Drive או ל-iCloud אינו מוצפן מקצה-לקצה כברירת מחדל. לפי מרכז העזרה של וואטסאפ, הצפנת הגיבוי היא אפשרות שצריך להפעיל ידנית: הגדרות ← צ׳אטים ← גיבוי צ׳אטים ← גיבוי מוצפן מקצה-לקצה. בהפעלה תבחרו סיסמה, מפתח הצפנה בן 64 ספרות שוואטסאפ מייצרת, או Passkey במכשירים תומכים. מרגע ההפעלה, גם מי שמשיג גישה לחשבון הענן שלכם לא יוכל לקרוא את היסטוריית הצ׳אטים.
וואטסאפ מדגישה שאין לה עותק של הסיסמה או המפתח: אם תאבדו אותם, אף אחד לא יוכל לשחזר לכם את הגיבוי — גם לא וואטסאפ עצמה. שמרו את הסיסמה במנהל סיסמאות או רשמו את המפתח ושימו במקום בטוח בבית, לצד הדרכון.
3. הגדרות פרטיות — מי רואה אתכם, ומי יכול לצרף אתכם
בהגדרות ← פרטיות מסתתרות כמה החלטות שכדאי לקבל במודע. את תמונת הפרופיל, הנראה לאחרונה והאודות מומלץ להגביל ל״אנשי הקשר שלי״ — תמונת פרופיל חשופה היא בדיוק מה שנוכל צריך כדי להתחזות אליכם מול המשפחה. וההגדרה שהכי שווה לשנות: קבוצות ← מי יכול לצרף אותי לקבוצות. כשהיא פתוחה ל״כולם״, כל זר יכול לצרף אתכם בלי לשאול לקבוצת ״השקעות״ או ״הטבות״ — ערוץ הפצה מרכזי של הונאות. הגבילו ל״אנשי הקשר שלי״, וזרים יוכלו לכל היותר לשלוח הזמנה פרטית שתוכלו למחוק.
4. הודעות נעלמות — פחות היסטוריה, פחות נזק
הודעות נעלמות מוחקות אוטומטית הודעות חדשות אחרי 24 שעות, 7 ימים או 90 יום, ואפשר לקבוע זאת כברירת מחדל לכל צ׳אט חדש (הגדרות ← פרטיות ← טיימר ברירת מחדל להודעות). זו לא רק הגדרת פרטיות מול בני השיחה — זו הקטנת נזק: אם מישהו ישיג גישה לחשבון או למכשיר, הוא ימצא הרבה פחות. ובהזדמנות זו, כלל אצבע שאין תלוי בהגדרות: צילומי תעודת זהות, כרטיסי אשראי וסיסמאות פשוט לא שולחים בוואטסאפ — גם לא ״לעצמי״.
5. מכשירים מקושרים — מי עוד מחובר לחשבון שלכם עכשיו?
וואטסאפ מאפשרת לקשר לחשבון עד ארבעה מכשירים נוספים — מחשב, טאבלט, דפדפן. זה נוח, וזה גם אומר שתוקף שהשיג גישה רגעית לטלפון שלכם (או שהפעלתם בטעות קוד QR באתר זדוני) יכול לקרוא את ההודעות שלכם ברקע, חודשים. היכנסו להגדרות ← מכשירים מקושרים ונתקו כל מכשיר שאינכם מזהים — עשו זאת מהיום אחת לכמה שבועות. לפי וואטסאפ, מכשיר מקושר שלא היה פעיל 30 יום מנותק אוטומטית, אבל אל תסמכו על זה. ועוד אזהרה רשמית שרבים לא מכירים: התחברו רק דרך web.whatsapp.com או האפליקציות הרשמיות למחשב — אתרי ״וואטסאפ ווב״ חלופיים ואפליקציות לא רשמיות עלולים לגנוב את החשבון, ואף לגרום לחסימתו על ידי וואטסאפ.
ההונאות שרצות בתוך וואטסאפ עצמה
גם עם חשבון מוגן היטב, וואטסאפ נשארת זירת ההונאות הפעילה בישראל — פשוט כי שם נמצאים כולם. אלו התבניות שחוזרות שוב ושוב, והדגל האדום של כל אחת:
| ההונאה | איך זה נראה | הדגל האדום |
|---|---|---|
| ״אמא, אני בצרה״ | הודעה ממספר לא מוכר: ״הטלפון שלי נשבר, זה המספר החדש. אני חייב/ת העברה דחופה״ | לחץ רגשי + התחמקות משיחה קולית. חייגו למספר הישן — תמיד |
| ״שלחתי לך קוד בטעות״ | בקשה מחשבון אמיתי של מכר (שכבר נחטף) להעביר קוד שהגיע אליכם ב-SMS | כל בקשה לקוד בן שש ספרות היא ניסיון חטיפה — בלי יוצאים מן הכלל |
| קבוצות השקעה והטבות | צירוף פתאומי לקבוצה עם ״מומחים״ שמציגים תשואות מסחררות וסיפורי הצלחה | צורפתם על ידי זרים; הבטחת רווח מובטח. צאו ודווחו — אל תתווכחו |
| וואטסאפ ווב מזויף | אתר שנראה כמו WhatsApp Web ומציג QR — ובפועל מקשר את החשבון שלכם למכשיר של התוקף | הכתובת אינה web.whatsapp.com — כל כתובת אחרת חשודה |
התבנית הראשונה מוכרת גם מזירת ה-SMS — פירטנו אותה, יחד עם הונאות ״דואר ישראל״ ו״הבנק״, במדריך ההישרדות להונאות SMS ישראליות. וחשוב להבין את התמונה הגדולה: חשבון חטוף הוא לא סוף הסיפור אלא חוליה — הוא משמש לחטוף את הבאים בתור, ופרטים שנאספים בדרך נסחרים הלאה, כפי שהסברנו במדריך על הרשת האפלה. אם אתם חוששים שפרטיכם כבר הסתובבו באיזו דליפה, כך בודקים אם המייל והסיסמאות שלכם נחשפו.
נחטף לכם החשבון? כך מחזירים אותו
קרה. מסרתם קוד, או שסתם גיליתם שהמשפחה מקבלת מכם בקשות כסף מוזרות. עכשיו השעון רץ — כל שעה שהחשבון אצל התוקף היא שעה שבה הוא מצליח לרמות עוד מישהו בשמכם. סדר הפעולות:

- רשמו את המספר מחדש — מיד. התקינו וואטסאפ בטלפון שבו נמצא ה-SIM שלכם, הזינו את המספר וקבלו קוד רישום חדש ב-SMS. כאן היתרון המובנה שלכם: הקו הפיזי אצלכם, לא אצל התוקף. השלמת הרישום מנתקת את החשבון מהמכשיר של התוקף.
- נתקלתם בדרישת PIN שלא אתם הגדרתם? התוקף הפעיל אימות דו-שלבי כדי לנעול אתכם בחוץ. אל תיכנסו לפניקה: לפי מדיניות וואטסאפ, איפוס PIN ללא מייל שחזור אורך עד שבעה ימים — החשבון יחזור אליכם, רק לאט יותר. אל תשלמו לאף ״שירות שחזור״ שמבטיח קיצור דרך.
- הודיעו לאנשי הקשר — בערוץ אחר. שיחת טלפון, SMS, הודעה בקבוצה המשפחתית מהחשבון של בן זוג: ״הוואטסאפ שלי נחטף, אל תעבירו כסף ואל תמסרו קודים״. זה הצעד שמונע את הנזק האמיתי, ולכן הוא לא מחכה לשחזור.
- דווחו. למשטרת ישראל עמוד ייעודי באתר gov.il — ״מסרתם קוד אישי והשתלטו לכם על הוואטסאפ״ — עם הנחיות מלאות ואפשרות דיווח מקוון. אם נפגע קטין, מוקד 105 זמין 24/7 בטלפון ובוואטסאפ.
- אחרי שהחשבון חזר — סוגרים את הדלת. הפעילו אימות דו-שלבי עם מייל שחזור, עברו על המכשירים המקושרים ונתקו כל מה שזר, והפעילו גיבוי מוצפן. חטיפה שנייה לא צריכה להיות אפשרית.
ומה עם הילדים?
וואטסאפ היא לא רק ערוץ ההונאות של המבוגרים — היא זירת הפגיעה השנייה בגודלה בקטינים ברשת. לפי נתוני משטרת ישראל ומוקד 105, שפורסמו ב-Jerusalem Post, בשנת 2025 טופלו 16,292 אירועי פגיעה בקטינים ברשת — ו-19% מהם התרחשו בוואטסאפ, שנייה רק לאינסטגרם (20%). ובקרב בני 13–17 החדירה זהה לזו של המבוגרים: 99%, לפי סקר איגוד האינטרנט. המשמעות להורים פשוטה: חמש ההגדרות שבמאמר הזה שייכות גם לטלפון של הילד — ואת אימות דו-שלבי והגבלת הקבוצות שווה להגדיר יחד, בגיל שבו הטלפון הראשון מגיע. לצד ההגדרות, כלל משפחתי אחד ברור: קוד שש ספרות לא מעבירים לאף אחד, ובקשת כסף מאמתים בשיחה קולית — גם כשזה ״אבא״ שכותב. ואם משהו בכל זאת קרה — מוקד 105 מטפל בפגיעות בקטינים ברשת, ומאז פברואר 2025 אפשר לפנות אליו גם בוואטסאפ עצמה: בשנתו הראשונה קלט הערוץ הזה יותר מ-5,000 דיווחים.
צ׳קליסט: רבע שעה, והחשבון סגור
- הפעילו אימות דו-שלבי והוסיפו מייל שחזור (הגדרות ← חשבון ← אימות דו-שלבי) — 3 דק׳.
- הפעילו גיבוי מוצפן מקצה-לקצה ושמרו את הסיסמה או המפתח במקום בטוח — 3 דק׳.
- הגבילו תמונת פרופיל, נראה לאחרונה ואודות ל״אנשי הקשר שלי״ — 2 דק׳.
- שנו את ״מי יכול לצרף אותי לקבוצות״ ל״אנשי הקשר שלי״ — דקה.
- פתחו מכשירים מקושרים ונתקו כל מכשיר שאינכם מזהים — דקה.
- קבעו טיימר ברירת מחדל להודעות נעלמות לצ׳אטים חדשים — דקה.
- שלחו את הכללים למשפחה — במיוחד להורים מבוגרים ולילדים — וסכמו: בקשת כסף או קוד = שיחת טלפון לאימות — 4 דק׳.
השורה התחתונה
חטיפת וואטסאפ היא לא פריצה מתוחכמת — היא תרגיל שכנוע סביב קוד אחד בן שש ספרות. מי שמפעיל אימות דו-שלבי, מצפין את הגיבוי, מגביל את הפרטיות ובודק את המכשירים המקושרים, הופך את עצמו ממטרה קלה למטרה לא משתלמת. רבע שעה של הגדרות, כלל משפחתי אחד — וההודעה הבאה שמבקשת מכם קוד תיתקל בדיוק במה שהיא צריכה להיתקל: חשדנות.
וואטסאפ הוא היום גם כלי עבודה — קבוצות צוות, סיכומי עסקאות, שירות לקוחות. חשבון חטוף של עובד הוא אירוע אבטחת מידע לכל דבר, עם גישה ישירה ללקוחות ולספקים שלכם. Cybertis מלווה ארגונים בבניית מודעות עובדים, נהלי תגובה לאירועים והגנה על ערוצי התקשורת של העסק — שיחת היכרות ראשונה עלינו.
דברו איתנו*מסלולי ההגדרות והמדיניות המתוארים נכונים למועד הכתיבה על פי מרכז העזרה הרשמי של WhatsApp, ועשויים להשתנות בין גרסאות ומכשירים. האמור במאמר הוא מידע כללי בלבד ואינו מהווה ייעוץ מקצועי או משפטי.*