פישינג והונאות דיגיטליות
שיטות הונאה שמנסות לגרום לכם לחשוף מידע פיננסי רגיש, וכיצד לזהות ולהתגונן מפניהן
בקצרה
פישינג (Phishing) הוא ניסיון הונאה שבו עבריין מתחזה לגורם אמין, בנק, חברת אשראי, רשות ממשלתית, כדי לגרום לקורבן לחשוף פרטים רגישים כמו סיסמאות, מספרי כרטיס אשראי או קודי אימות. ההודעה נראית לגיטימית, אבל הקישור מוביל לאתר מזויף שגונב את המידע.
בישראל, מתקפות פישינג פיננסי הפכו לנפוצות מאוד. עבריינים שולחים הודעות SMS שנראות כאילו הגיעו מבנק לאומי, בנק הפועלים, ישראכרט או רשות המסים, עם קישור "דחוף" לעדכון פרטים או אימות חשבון. האתר המזויף נראה כמעט זהה לאתר האמיתי, ואנשים רבים נופלים בפח.
בנק ישראל מחייב את הבנקים ליישם מנגנוני הגנה מפני פישינג, כולל התראות ללקוחות, חסימת עסקאות חשודות, ומערכות זיהוי אתרים מזויפים. אבל קו ההגנה הראשון הוא תמיד הלקוח עצמו, מודעות וחשדנות בריאה הן הכלי הטוב ביותר.
סוגי הונאות נפוצים
- Smishing (SMS Phishing): הודעת SMS מזויפת עם קישור, לדוגמה "החשבון שלך ננעל, לחצו כאן לאימות".
- Vishing (Voice Phishing): שיחת טלפון מאדם שמתחזה לנציג הבנק ומבקש פרטי חשבון או קוד אימות.
- הונאת השקעות: פרסומות מזויפות שמבטיחות תשואות גבוהות – לעיתים עם "המלצות" של אנשים מפורסמים שמזויפות באמצעות Deepfake.
כללי זהב להגנה
הבנק לעולם לא יבקש סיסמה, קוד SMS או פרטי כרטיס בטלפון או בהודעה. אל תלחצו על קישורים בהודעות, היכנסו לאתר הבנק ישירות דרך הדפדפן. אם קיבלתם שיחה חשודה, נתקו וחייגו בעצמכם למספר הרשמי של הבנק. דווחו על ניסיונות הונאה למשטרה ולמוקד הסייבר הלאומי (119).
כללי זהב להגנה
לעולם אל תלחצו על קישור בהודעת SMS או מייל שמבקשים ממכם "לאמת חשבון" או "לעדכן פרטים". בנקים וחברות לגיטימיות לעולם לא יבקשו סיסמאות או פרטי כרטיס אשראי בהודעה.
טיפ
הפעילו אימות דו-שלבי (2FA) בכל חשבון פיננסי. גם אם גנבו לכם סיסמה דרך פישינג, האימות הדו-שלבי מונע גישה לחשבון.
כלל הזהב
שום בנק או גוף רשמי לא ישלח קישור לעדכון סיסמה. אם קיבלתם הודעה כזו, היכנסו ישירות לאתר הרשמי ולא דרך הקישור.
טיפ
הפעילו אימות דו-שלבי (2FA) בכל חשבון פיננסי. גם אם מישהו השיג את הסיסמה, ה-2FA ימנע כניסה.
הנפוצות ביותר הן: הודעות SMS מזויפות שנראות כאילו הגיעו מהבנק (עם קישור לאתר מתחזה), מיילים "מרשות המיסים" בעונת הדוחות שמבקשים פרטי חשבון, שיחות טלפון שבהן מתחזים לעובד בנק ומבקשים אישור להעברה, ופרופילים מזויפים ברשתות חברתיות שמציעים "השקעות בטוחות" עם תשואה מובטחת. ב-2023, הונאות פישינג פיננסי בישראל גרמו לנזק מוערך של מאות מיליוני שקלים. הבנקים ישראליים לעולם לא יבקשו סיסמה בטלפון או במייל.
פעלו מהר. ראשית, שנו מיד את הסיסמה לחשבון שנחשף (בנק, מייל, רשת חברתית). שנית, התקשרו לבנק ובקשו לחסום את הכרטיס או החשבון. שלישית, הגישו תלונה במשטרה (ניתן גם באופן מקוון). רביעית, דווחו ל-CERT-IL (מערך הסייבר הלאומי). חמישית, בדקו את חשבונות הבנק לעסקאות חשודות ב-72 השעות האחרונות. אם העברתם כסף, הבנק חייב לנסות לבצע "הקפאה" (Freeze) של העברה תוך שעות. ככל שמגיבים מהר יותר, הסיכוי להחזיר כספים גבוה יותר.
כמה סימנים חשובים. ראשית, בדקו את כתובת האתר: הבנקים הישראליים משתמשים בדומיינים כמו leumi.co.il או discountbank.co.il. אם הכתובת שונה (למשל, leumi-login.xyz), זו הונאה. שנית, חפשו את סמל המנעול (HTTPS) אבל אל תסמכו עליו בלבד, כי גם אתרי פישינג יכולים להשיג תעודת SSL. שלישית, אתרים מזויפים בדרך כלל מבקשים יותר מידע מהרגיל (מספר תעודת זהות, קוד CVV, וסיסמה חד-פעמית יחד). רביעית, אם הגעתם מקישור במייל או SMS, צאו וגשו לאתר הבנק ישירות.
המצב המשפטי בישראל מורכב. אם הבנק שלח הודעת SMS עם קישור, והתברר שזו הונאה, הבנק אחראי. אם אתם לחצתם על קישור שלא הגיע מהבנק ומסרתם פרטים, האחריות בדרך כלל שלכם. עם זאת, בתי המשפט בישראל נוטים לחלק את האחריות: אם הבנק לא הפעיל מספיק מנגנוני אבטחה (כמו אישור כפול להעברות גדולות), הוא עלול לשאת בחלק מהנזק. פנו תמיד לבנק בכתב ודרשו בירור. אם סורבתם, פנו לאגף פניות הציבור בבנק ישראל.
קשישים הם קבוצת יעד מועדפת לתוקפים. כמה צעדים מעשיים: הגדירו התראות SMS על כל עסקה בחשבון (כך שילדים יכולים לעקוב). הגדירו מגבלת העברה יומית נמוכה. הסבירו כלל פשוט: "הבנק לעולם לא מתקשר ומבקש סיסמה". התקינו חוסם שיחות ספאם בטלפון. אם אפשר, הגדירו אישור כפול (שלכם) להעברות מעל סכום מסוים. הבנקים בישראל מציעים "חשבון מוגן" לאוכלוסיות פגיעות. דברו עם סניף הבנק על האפשרויות.
שלושתם שיטות הונאה שמשתמשות בהתחזות, אבל בערוצים שונים. פישינג (Phishing) הוא דרך מייל עם קישור לאתר מזויף. וישינג (Vishing) הוא דרך שיחת טלפון, בדרך כלל עם מתחזה ל"מחלקת אבטחה" של הבנק. סמישינג (Smishing) הוא דרך הודעת SMS עם קישור. בישראל, סמישינג הוא הנפוץ ביותר כי אנשים סומכים על SMS יותר ממייל. הגנה אחידה: לעולם אל תלחצו על קישור, לעולם אל תמסרו סיסמה בטלפון, ותמיד גשו לאתר הבנק ישירות.
מושגי מפתח
Social Engineering
הנדסה חברתית, מניפולציה פסיכולוגית שמנצלת אמון, דחיפות או פחד כדי לגרום לאנשים לחשוף מידע רגיש או לבצע פעולות.
Spoofing
התחזות טכנולוגית, זיוף מספר טלפון, כתובת אימייל או אתר אינטרנט כדי שההודעה תיראה כאילו הגיעה ממקור אמין.
Authorized Push Payment Fraud
הונאה שבה הקורבן מבצע בעצמו העברה בנקאית לחשבון העבריין, לאחר שהונה להאמין שמדובר בתשלום לגיטימי.
- בנק ישראל - הפיקוח על הבנקים. "הגנה על לקוחות מפני הונאות פישינג והתחזות" boi.org.il ↗ ↩נבדק לאחרונה: 07/05/2026
- מערך הסייבר הלאומי. "הונאות פישינג - איך מזהים ומה עושים" gov.il ↗ ↩נבדק לאחרונה: 07/05/2026
- Investopedia. "Phishing" investopedia.com ↗ ↩נבדק לאחרונה: 07/05/2026
מייסד
השקעתי שנים בהייטק ובשוק ההון. ניהלתי בעצמי את הפנסיה, הביטוחים וההשקעות שלי, של המשפחה ושל החברים, ובמקביל אני מוביל קהילת משקיעים פעילה כבר שנים. כל ערך במידע-הון מתורגם ישירות מהחוק והרגולציה לעברית קריאה, כדי שהמסמך הבא שיגיע אליך בדואר יהיה מובן. גם בעשר וחצי בלילה.
תחומי מומחיות