למה הונאות תשלום הן סיכון פיננסי מס' 1 לעסקים קטנים ב-2026
הכותרות הולכות לכופרה. הונאות התשלום בשקט מוציאות יותר כסף מעסקים קטנים בכל רבעון - בדרך כלל בלי שאף אחד שם לב במשך שבועות.
הסיבה פשוטה: הונאת תשלום לא צריכה לשבור כלום. אין נוזקה, אין קבצים מוצפנים, אין מכתב כופר. מישהו פשוט משכנע את איש הכספים שלכם להעביר כסף לחשבון בנק לא נכון. עד שהספק האמיתי שואל איפה התשלום, הכסף כבר עבר דרך 3-4 חשבונות פיקטיביים והלך.
לעסק של 5-50 עובדים, אירוע מוצלח בודד עולה בדרך כלל 30,000-450,000 ש"ח. שיעורי השבת הכספים בביטוחי סייבר על הונאות הנדסה חברתית עומדים על 20-30% - לעיתים פחות.
חמש התבניות שאנחנו רואים בפועל
1. השתלטות על מייל של ספק (הנפוצה ביותר)
התוקף משתלט על תיבת המייל של *הספק שלכם* - לא שלכם. הוא יושב בשקט, קורא חודשים של תכתובת, ולומד את הקשר: איך חשבוניות נראות, אילו סכומים נורמליים, מי מאשר מה.
ואז הוא מחכה לחשבונית אמיתית, מיירט אותה, ושולח מחדש את אותו PDF עם שינוי אחד: ה-IBAN. המייל מגיע מהכתובת האמיתית. החתימה והעיצוב זהים. רק חשבון הבנק שונה.
> נורת אזהרה: ספק ותיק שולח לכם "פרטי בנק מעודכנים" במייל - במיוחד סמוך למועד פירעון חשבונית קיימת.
2. התחזות למנכ"ל / מייסד
עובד כספים מקבל הודעה - מייל, וואטסאפ, לפעמים SMS - שנראית כאילו הגיעה מהמייסד: *"אני בפגישה, צריך שתעבירי דחוף העברה לחשבון הזה היום, אסביר אחר כך."*
הדומיין הוא בדרך כלל דומה (techsuit.io → techsuit-io.com). בוואטסאפ תמונת הפרופיל היא של המייסד האמיתי מלינקדאין.
> נורת אזהרה: דחיפות + סודיות + בקשת תשלום שעוקפת אישור רגיל. תמיד.
3. מניפולציה של חשבוניות בתוך תיבת המייל שלכם
התוקף משתלט תחילה על *התיבה שלכם* - בדרך כלל דרך סיסמת Microsoft 365 שדוגה בפישינג, ללא MFA. מבפנים הוא מגדיר כלל שמעביר אוטומטית או מוחק כל מייל שמכיל "חשבונית", "תשלום", "בנק" או "IBAN".
ואז הוא מתחזה לצוות הכספים שלכם מול הלקוחות, וללקוחות מול הצוות. הכסף יוצא לפני שמישהו מבין ששני הצדדים מדברים עם זר.
4. הפניית משכורת
בסביבות מועד תשלום המשכורות, משאבי אנוש מקבלים מייל מ"עובד" שמבקש להעביר את המשכורת לחשבון חדש. זה סביר - אנשים מחליפים בנקים. השינוי מתבצע, ומשכורת חודשית של עובד אחד נוחתת בחשבון של תוקף.
הפסד קטן לאירוע, אבל קל לביצוע - ולעיתים חוזר חודש אחר חודש לפני שמתגלה.
5. חשבונית או ספק מזויפים
תיבת הכספים מקבלת חשבונית מספק שנראה *סביר* - דומיין מתאים, PDF מקצועי, סכום הגיוני. אולי מתייחס לפרויקט אמיתי או לפריט גנרי כמו "ייעוץ" או "חידוש דומיין".
אם אין בדיקה קפדנית של ספקים חדשים - החשבונית משולמת. ראינו חשבוניות של 1,500-7,000 ש"ח עוברות בלי שמישהו שם לב שהספק לא קיים.
למה עסקים קטנים הם היעד המועדף
שלוש סיבות:
הבקרות שבאמת עוצרות את זה
אתם לא צריכים סטאק אבטחה ארגוני. אתם צריכים 6 בקרות ספציפיות.
בקרה 1 - MFA על כל תיבת מייל (ללא יוצא מן הכלל)
בקרת ה-ROI הגבוהה ביותר ל-SMB. כ-95% מ-BEC מתחילים מסיסמה שדוגה בפישינג, כשלא נאכף MFA. Conditional Access של Microsoft 365 אוכף את זה לכל המשתמשים במדיניות אחת.
בקרה 2 - ניטור כללי תיבה
רוב התקפות ה-BEC יוצרות כללי העברה או מחיקה. Defender for Office 365 מתריע על כל כלל העברה חדש לדומיין חיצוני. בלי זה - אפשר להיות פרוצים שבועות בלי לדעת.
בקרה 3 - אימות חוזר מחוץ לערוץ המייל
כלל לא-לדיון בכספים: כל שינוי פרטי בנק, או כל העברה חדשה מעל סף (10,000-20,000 ש"ח), מאומתים בטלפון - לפי מספר שיש לכם כבר בתיק, לא ממייל.
הדפס את זה על כרטיס. שים על המסך של איש הכספים. זה ימנע יותר הונאות מכל תוכנה.
בקרה 4 - אישור כפול להעברות
שני אנשים חייבים לאשר תשלום יוצא מעל סף. רוב הבנקים העסקיים בישראל, יוון וספרד תומכים בזה בפורטל. תפעיל את זה.
בקרה 5 - צ'קליסט קליטת ספק חדש
ספק חדש לא מקבל תשלום עד ש: (א) דיברו איתו בטלפון לפי מספר מהאתר הרשמי, (ב) פרטי הבנק הגיעו דרך הערוץ המאומת הזה, (ג) מנהל אישר את רשומת הספק.
בקרה 6 - הגנת דומיין (SPF, DKIM, DMARC)
DMARC מוגדר נכון ב-p=reject מונע מתוקפים לשלוח מייל *בשם הדומיין שלכם* ללקוחות שלכם. בלי זה - הלקוחות שלכם הם משטח תקיפה שאתם לא שולטים בו.
מה לעשות ב-60 הדקות הראשונות אחרי העברה הונאתית
המהירות חשובה יותר מהכל.
סביב 30 דקות הכסף לרוב יוצא מהחשבון המקבל הראשון. מעבר לכך - סיכויי ההשבה צונחים.
כמה זה עולה ליישם
לעסק של 10 עובדים, הסטאק המלא - MFA, Defender for Office 365, התראות כללי תיבה, DMARC, נוהל אישור כפול ואימות חוזר מתועדים - עולה כ-60-100 ש"ח למשתמש בחודש מעבר לרישוי Microsoft 365 רגיל.
אירוע אחד שנמנע מכסה את כל התוכנית ל-5-10 שנים.