Skip to main content
תרבות אבטחה7 דקות קריאהNew

הונאות תשלום ב-2026: איך עסקים קטנים באמת נופלים - ואיך נשארים בטוחים

"החלפת חשבוניות, התחזות למנכ"ל, השתלטות על מייל של ספק. חמש תבניות ההונאה שפוגעות ב-SMB בישראל, יוון וספרד - והבקרות שעוצרות אותן."

מחבר

ליאור רפאל

פורסם

Jun 27, 2026

חזרה למאמרים

למה הונאות תשלום הן סיכון פיננסי מס' 1 לעסקים קטנים ב-2026

הכותרות הולכות לכופרה. הונאות התשלום בשקט מוציאות יותר כסף מעסקים קטנים בכל רבעון - בדרך כלל בלי שאף אחד שם לב במשך שבועות.

הסיבה פשוטה: הונאת תשלום לא צריכה לשבור כלום. אין נוזקה, אין קבצים מוצפנים, אין מכתב כופר. מישהו פשוט משכנע את איש הכספים שלכם להעביר כסף לחשבון בנק לא נכון. עד שהספק האמיתי שואל איפה התשלום, הכסף כבר עבר דרך 3-4 חשבונות פיקטיביים והלך.

לעסק של 5-50 עובדים, אירוע מוצלח בודד עולה בדרך כלל 30,000-450,000 ש"ח. שיעורי השבת הכספים בביטוחי סייבר על הונאות הנדסה חברתית עומדים על 20-30% - לעיתים פחות.

חמש התבניות שאנחנו רואים בפועל

1. השתלטות על מייל של ספק (הנפוצה ביותר)

התוקף משתלט על תיבת המייל של *הספק שלכם* - לא שלכם. הוא יושב בשקט, קורא חודשים של תכתובת, ולומד את הקשר: איך חשבוניות נראות, אילו סכומים נורמליים, מי מאשר מה.

ואז הוא מחכה לחשבונית אמיתית, מיירט אותה, ושולח מחדש את אותו PDF עם שינוי אחד: ה-IBAN. המייל מגיע מהכתובת האמיתית. החתימה והעיצוב זהים. רק חשבון הבנק שונה.

> נורת אזהרה: ספק ותיק שולח לכם "פרטי בנק מעודכנים" במייל - במיוחד סמוך למועד פירעון חשבונית קיימת.

2. התחזות למנכ"ל / מייסד

עובד כספים מקבל הודעה - מייל, וואטסאפ, לפעמים SMS - שנראית כאילו הגיעה מהמייסד: *"אני בפגישה, צריך שתעבירי דחוף העברה לחשבון הזה היום, אסביר אחר כך."*

הדומיין הוא בדרך כלל דומה (techsuit.io → techsuit-io.com). בוואטסאפ תמונת הפרופיל היא של המייסד האמיתי מלינקדאין.

> נורת אזהרה: דחיפות + סודיות + בקשת תשלום שעוקפת אישור רגיל. תמיד.

3. מניפולציה של חשבוניות בתוך תיבת המייל שלכם

התוקף משתלט תחילה על *התיבה שלכם* - בדרך כלל דרך סיסמת Microsoft 365 שדוגה בפישינג, ללא MFA. מבפנים הוא מגדיר כלל שמעביר אוטומטית או מוחק כל מייל שמכיל "חשבונית", "תשלום", "בנק" או "IBAN".

ואז הוא מתחזה לצוות הכספים שלכם מול הלקוחות, וללקוחות מול הצוות. הכסף יוצא לפני שמישהו מבין ששני הצדדים מדברים עם זר.

4. הפניית משכורת

בסביבות מועד תשלום המשכורות, משאבי אנוש מקבלים מייל מ"עובד" שמבקש להעביר את המשכורת לחשבון חדש. זה סביר - אנשים מחליפים בנקים. השינוי מתבצע, ומשכורת חודשית של עובד אחד נוחתת בחשבון של תוקף.

הפסד קטן לאירוע, אבל קל לביצוע - ולעיתים חוזר חודש אחר חודש לפני שמתגלה.

5. חשבונית או ספק מזויפים

תיבת הכספים מקבלת חשבונית מספק שנראה *סביר* - דומיין מתאים, PDF מקצועי, סכום הגיוני. אולי מתייחס לפרויקט אמיתי או לפריט גנרי כמו "ייעוץ" או "חידוש דומיין".

אם אין בדיקה קפדנית של ספקים חדשים - החשבונית משולמת. ראינו חשבוניות של 1,500-7,000 ש"ח עוברות בלי שמישהו שם לב שהספק לא קיים.

למה עסקים קטנים הם היעד המועדף

שלוש סיבות:

  • 1פחות בקרות. אין אישור כפול על העברות. אין אימות חוזר. לעיתים אותו אדם מנהל גם את המייל וגם את הבנק.
  • 2תנועת כסף מהירה. SMB חייבים לשלם מהר כדי להמשיך לפעול. ההונאה מסתמכת על המהירות הזאת.
  • 3פחות בדיקה לעסקה. העברה של 50,000 ש"ח בחברה של 25 עובדים נורמלית. אותה העברה בתאגיד גדול מפעילה בדיקה אוטומטית.
  • הבקרות שבאמת עוצרות את זה

    אתם לא צריכים סטאק אבטחה ארגוני. אתם צריכים 6 בקרות ספציפיות.

    בקרה 1 - MFA על כל תיבת מייל (ללא יוצא מן הכלל)

    בקרת ה-ROI הגבוהה ביותר ל-SMB. כ-95% מ-BEC מתחילים מסיסמה שדוגה בפישינג, כשלא נאכף MFA. Conditional Access של Microsoft 365 אוכף את זה לכל המשתמשים במדיניות אחת.

    בקרה 2 - ניטור כללי תיבה

    רוב התקפות ה-BEC יוצרות כללי העברה או מחיקה. Defender for Office 365 מתריע על כל כלל העברה חדש לדומיין חיצוני. בלי זה - אפשר להיות פרוצים שבועות בלי לדעת.

    בקרה 3 - אימות חוזר מחוץ לערוץ המייל

    כלל לא-לדיון בכספים: כל שינוי פרטי בנק, או כל העברה חדשה מעל סף (10,000-20,000 ש"ח), מאומתים בטלפון - לפי מספר שיש לכם כבר בתיק, לא ממייל.

    הדפס את זה על כרטיס. שים על המסך של איש הכספים. זה ימנע יותר הונאות מכל תוכנה.

    בקרה 4 - אישור כפול להעברות

    שני אנשים חייבים לאשר תשלום יוצא מעל סף. רוב הבנקים העסקיים בישראל, יוון וספרד תומכים בזה בפורטל. תפעיל את זה.

    בקרה 5 - צ'קליסט קליטת ספק חדש

    ספק חדש לא מקבל תשלום עד ש: (א) דיברו איתו בטלפון לפי מספר מהאתר הרשמי, (ב) פרטי הבנק הגיעו דרך הערוץ המאומת הזה, (ג) מנהל אישר את רשומת הספק.

    בקרה 6 - הגנת דומיין (SPF, DKIM, DMARC)

    DMARC מוגדר נכון ב-p=reject מונע מתוקפים לשלוח מייל *בשם הדומיין שלכם* ללקוחות שלכם. בלי זה - הלקוחות שלכם הם משטח תקיפה שאתם לא שולטים בו.

    מה לעשות ב-60 הדקות הראשונות אחרי העברה הונאתית

    המהירות חשובה יותר מהכל.

  • 1התקשרו לקו ההונאה של הבנק - לא לסניף. בקשו החזרה דחופה. אם הכסף לא שוחרר בבנק המקבל - לפעמים אפשר להקפיא.
  • 2הגישו תלונה במשטרה מיד. הבנק לרוב לא יפעל בלי דוח.
  • 3אפסו כל סיסמה ובטלו כל סשן פעיל בתיבה שנפרצה. אל תניחו שהתוקף יצא.
  • 4דווחו למבטח. רוב פוליסות הסייבר מחייבות הודעה תוך 24-72 שעות.
  • 5בדקו כללי תיבה - העברה ומחיקה - ועברו על 90 הימים האחרונים של "נשלח".
  • סביב 30 דקות הכסף לרוב יוצא מהחשבון המקבל הראשון. מעבר לכך - סיכויי ההשבה צונחים.

    כמה זה עולה ליישם

    לעסק של 10 עובדים, הסטאק המלא - MFA, Defender for Office 365, התראות כללי תיבה, DMARC, נוהל אישור כפול ואימות חוזר מתועדים - עולה כ-60-100 ש"ח למשתמש בחודש מעבר לרישוי Microsoft 365 רגיל.

    אירוע אחד שנמנע מכסה את כל התוכנית ל-5-10 שנים.

    מילון מושגים

    היכן אנחנו פועלים

    אנחנו מספקים את העבודה הזו לעסקים קטנים בישראל ואירופה.

    סקירת השפעה

    מה זה אומר לעסק שלכם

    עצרו החלפות חשבוניות

    ערך עסקי

    אימות חוזר בטלפון על כל שינוי פרטי בנק חוסם את תבנית ההונאה הנפוצה ביותר - שיחת טלפון אחת ששווה 30,000-450,000 ש"ח.

    יישום טכני

    נוהל כספים מתועד, חתום ע"י המייסד, עם יומן שיחות לכל שינוי. מחוזק בהתראות Defender על אנומליות במיילים של ספקים.

    סגרו את תיבת המייל

    ערך עסקי

    MFA + ניטור כללי תיבה מבטלים כ-95% מ-BEC. הבקרה שחסרה לרוב ה-SMB - והזולה ביותר להוסיף.

    יישום טכני

    מדיניות Conditional Access של Microsoft 365 שאוכפת MFA לכולם, Defender for Office 365 מתריע על כללי העברה חדשים, סקירה חודשית של יומן ביקורת התיבה.

    התאוששות מהירה כשזה קורה

    ערך עסקי

    ספר הפעלה מתועד ל-60 הדקות הראשונות משפר דרמטית את סיכויי השבת הכספים - ההבדל בין החזרת הכסף לבין מחיקתו.

    יישום טכני

    Runbook מוכן עם מספרי קו ההונאה של הבנק, תבניות תלונה במשטרה, צעדי ביטול סשנים, ופרטי המבטח - שמרו במקום שצוות הכספים מגיע אליו תוך 30 שניות.

    חוששים שתהליך התשלומים שלכם ניתן להטעיה?

    קבעו שיחת חינם של 30 דקות. נעבור על תהליך אישור התשלומים וקליטת הספקים שלכם, ונאמר בכנות איפה הפערים - בלי לחץ לעבוד איתנו.