מה זה פישינג (Phishing)?

דיוג
התחזות
הונאת אינטרנט
גניבת מידע

מדריך מקיף על התקפות פישינג: הגדרה, סוגים (Spear Phishing, Whaling, Vishing, Smishing), איך לזהות מתקפת דיוג, וכיצד להתגונן מגניבת מידע רגיש ופרטי כניסה

90%
מהפריצות מתחילות בפישינג
$4.9M
עלות ממוצעת של פריצת מידע
3.4B
מיילי פישינג נשלחים מדי יום
207
ימים ממוצע לזיהוי פריצה

הגדרות מרכזיות

פישינג (Phishing)

התקפת הונאת אינטרנט המבוססת על התחזות לגורם מהימן (בנק, חברה, מוסד ממשלתי) במטרה לבצע גניבת מידע רגיש כמו שמות משתמש וסיסמאות, פרטי כניסה, או פרטים פיננסיים.

דיוג (Phishing בעברית)

תרגום עברי למונח Phishing - דיוג לקורבנות באמצעות 'פיתיון' דיגיטלי. המונח מתאר את השיטה: השלכת רשת רחבה ו'דיוג' קורבנות שיבלעו את הפיתיון.

התחזות (Impersonation)

טכניקת התקפה מרכזית בפישינג - תוקף מתחזה לגורם לגיטימי: בנק, חברת אשראי, שירות ממשלתי, חברה מוכרת, או אפילו חבר/עמית בעבודה.

ערוצי התקפת פישינג

איך תוקפים מבצעים התקפות דיוג והתחזות

דואר אלקטרוני (Email Phishing)

הערוץ הנפוץ ביותר - מיילים מזויפים המתחזים לארגונים לגיטימיים, מכילים קישור לאתר מזויף או קובץ מצורף זדוני. סימני אזהרה: כתובת שולח חשודה, דחיפות מלאכותית, שגיאות כתיב.

דוגמאות: 'חשבון הבנק שלך נחסם', 'החבילה שלך מחכה', 'אפס את הסיסמה שלך'

הודעות SMS (Smishing)

פישינג באמצעות הודעות טקסט - התוקף שולח SMS המתחזה לבנק, חברת משלוחים, או רשות ממשלתית. מכיל קישור מזויף או מספר טלפון לחיוג. אנשים נוטים לסמוך על SMS יותר ממייל.

דוגמאות: 'החבילה שלך ממתינה - לחץ כאן', 'חשבונך נחסם - פעל מיד', 'זכית בפרס'

שיחות טלפון (Vishing)

פישינג קולי - תוקף מתקשר ומתחזה לנציג בנק, תמיכה טכנית, או רשות ממשלתית. משתמש בהנדסה חברתית ליצירת דחיפות/פחד ומבקש פרטי כניסה או פעולות במחשב.

דוגמאות: 'נציג מהבנק - יש פעילות חשודה', 'תמיכה טכנית של מיקרוסופט', 'משרד הפנים'

אתרים מזויפים (Fake Websites)

דפי התחברות או טפסים המחקים אתרים לגיטימיים - בנקים, רשתות חברתיות, שירותי דוא"ל. הדומיין לרוב דומה מאוד (עם טעות כתיב קטנה) ללא תעודת אבטחה תקינה.

דוגמאות: gooogle.com במקום google.com, paypa1.com במקום paypal.com

סוגי התקפות פישינג

מפישינג המוני ועד התקפות ממוקדות מתוחכמות

Spear Phishing - פישינג ממוקד

התקפת פישינג ממוקדת לאדם או ארגון ספציפי. התוקף משקיע זמן במחקר מעמיק: תפקיד, קשרים, תחומי עניין, פרטים מרשתות חברתיות. המייל נראה אישי ורלוונטי מאוד - קשה יותר לזהות.

Whaling - ציד לווייתנים

פישינג המכוון למנהלים בכירים - CEO, CFO, דירקטורים. 'הלווייתנים' הם מטרות אטרקטיביות בגלל גישה למידע קריטי וסמכויות העברת כספים. התקפות Whaling מתוחכמות מאוד.

Clone Phishing - שכפול מיילים

שכפול מייל לגיטימי שהקורבן קיבל בעבר, עם החלפת קישורים/קבצים בגרסאות זדוניות. נשלח מכתובת דומה מאוד עם תירוץ 'שליחה חוזרת'. מכיוון שהמייל מוכר - סיכוי גבוה להצלחה.

BEC - Business Email Compromise

התחזות למנהלים בכירים או שותפים עסקיים במטרה להעברת כספים או חשיפת מידע רגיש. לדוגמה: מייל מזויף מה-CEO למנהל הכספים. גורם להפסדים של מיליארדי דולרים שנתית.

איך לזהות מתקפת פישינג? סימני אזהרה

10 סימנים שמצביעים על מייל, SMS או שיחה חשודים

כתובת שולח חשודה או לא מוכרת
דחיפות מלאכותית - 'פעל עכשיו או החשבון ייחסם'
שגיאות כתיב וניסוח לקוי
בקשה למידע אישי או פרטי כניסה
קישור שלא תואם את הכתובת האמיתית (בדקו בריחוף)
טופס מזויף המבקש פרטי חשבון
דומיין עם טעויות כתיב (gooogle.com)
אתר ללא תעודת אבטחה (HTTPS)
ברכה כללית - 'לקוח יקר' במקום שמך
קובץ מצורף לא צפוי (.exe, .zip, .js)

איך להתגונן מפני פישינג?

8 צעדים להגנה יעילה מפני גניבת מידע ופרטי כניסה

אל תלחצו על קישורים במיילים חשודים

אל תלחצו על קישורים במיילים לא מוכרים. העבירו את העכבר מעל הקישור לראות את הכתובת האמיתית לפני לחיצה.

בדקו את כתובת השולח והדומיין

בדקו בקפידה את כתובת המייל השולח והדומיין. שימו לב לטעויות כתיב קטנות (gooogle.com במקום google.com).

אל תזינו פרטי כניסה באתרים ללא HTTPS

וודאו שהאתר מאובטח (HTTPS + נעילה ירוקה בדפדפן) לפני הזנת פרטי כניסה. בדקו את הכתובת בסרגל הדפדפן.

השתמשו באימות דו-שלבי (2FA)

הפעילו אימות דו-שלבי בכל השירותים הקריטיים. גם אם סיסמה נגנבה - התוקף לא יוכל להיכנס.

עדכנו תוכנות אנטי-וירוס ודפדפן

שמרו על עדכון אנטי-וירוס, מערכת הפעלה, ודפדפן. עדכונים סוגרים פרצות אבטחה.

אל תורידו קבצים מצורפים ממקורות לא מוכרים

היזהרו מקבצים מצורפים במיילים, במיוחד .exe, .zip, .js. אל תפתחו קבצים ממקורות לא מוכרים.

פנו ישירות לארגון לאימות

במקרה של ספק - פנו לארגון בערוץ אחר (טלפון, אתר רשמי) לאימות. אל תשתמשו במספר/קישור מהמייל החשוד.

השתמשו במנהל סיסמאות

מנהל סיסמאות יזהה אוטומטית אתרים מזויפים ולא ימלא פרטי כניסה באתר לא נכון.

פישינג (Phishing) - הסבר מפורט

פישינג (Phishing), או דיוג, היא הונאת אינטרנט שבה תוקף מתחזה לגורם לגיטימי (כמו בנק, חברת אשראי, או דואר ישראל) באמצעות הודעות SMS, מייל או וואטסאפ, כדי לגרום לקורבן ללחוץ על קישור זדוני ולמסור מידע רגיש כמו סיסמאות, פרטי כרטיס אשראי ופרטי חשבון, או להוריד תוכנות זדוניות. ההודעות יוצרות תחושת דחיפות (למשל, "חשבונך נחסם"), ומפנות לאתרים מתחזים שנראים זהים לאתרים אמיתיים.

איך זה עובד?

  • התחזות: התוקף שולח הודעה שנראית כאילו הגיעה מגוף מוכר (בנק, חברת תקשורת, ביטוח לאומי, דואר).
  • פיתיון: ההודעה מכילה קישור המפנה לאתר מזויף, עם סיבה ללחוץ עליו (למשל, עדכון פרטים, תשלום עבור משלוח).
  • גניבת מידע: באתר המזויף תתבקשו להזין פרטים אישיים (סיסמה, מספר ת"ז, פרטי כרטיס אשראי), והם נגנבים על ידי התוקף.

איך להתגונן?

  • חשדנות: תמיד לנהוג בחשדנות כלפי הודעות שמבקשות מידע אישי או לחיצה על קישור, גם אם נראות לגיטימיות.
  • בדיקת כתובת: לוודא את כתובת האתר לפני הזנת פרטים (לא ללחוץ על קישור, אלא להקליד את הכתובת ידנית).
  • לא למסור פרטים: לעולם לא להעביר פרטים רגישים בדואר אלקטרוני או בקישור.
  • פנייה ישירה: אם יש ספק, פנו ישירות לגוף הרלוונטי דרך הערוצים הרשמיים שלו (אתר או טלפון), ולא דרך הקישור בהודעה.
  • תוכנות אבטחה: השתמשו בתוכנות אנטי-וירוס וגילוי נוזקות.
  • החלפת סיסמאות: להחליף סיסמאות באופן קבוע.

מה עושים אם נפלתם קורבן?

  • החליפו סיסמאות: החליפו מיידית סיסמאות בכל החשבונות שנראה שפרטיהם נגנבו.
  • דווחו לבנק/חברת אשראי: הודיעו לבנק או לחברת האשראי על הפריצה.
  • דווחו למשטרה: דווחו למשטרה על האירוע (אפשר דרך המוקד הממשלתי 119).

מידע נוסף על התקפות דיוג והונאות פישינג

התקפות פישינג ודיוג הן אחד האיומים המרכזיים באבטחת מידע כיום. הונאות אלו כוללות התחזות למוסדות פיננסיים, בנקים, חברות אשראי, שירותים ממשלתיים, ואפילו לחברים ועמיתים בעבודה. התוקפים משתמשים בהנדסה חברתית ומניפולציות פסיכולוגיות כדי לגרום לקורבנות למסור פרטי כניסה, סיסמאות, שמות משתמש, פרטים פיננסיים, פרטי חשבון בנק, ופרטי כרטיסי אשראי.

מתקפות דיוג מבוצעות דרך דואר אלקטרוני (מיילים), הודעות SMS (סמישינג), שיחות טלפון (וישינג), ואפליקציות מסרים כמו וואטסאפ. התוקפים יוצרים אתרים מזויפים, דפי התחברות מזויפים, וטפסים מזויפים שנראים זהים לאתרים האמיתיים. הם משתמשים בדומיינים מזויפים עם טעויות כתיב קטנות כדי להטעות את הקורבנות.

קישורים מזויפים בהודעות דיוג מפנים לאתרי התחזות שבהם מבקשים מהמשתמש להזין פרטים רגישים. לעיתים הודעות אלו מכילות גם קבצים מצורפים זדוניים המכילים תוכנות זדוניות, וירוסים, או תוכנות ריגול. הקבצים יכולים להיות בפורמטים כמו .exe, .zip, או .js, ולהכיל נוזקות שמדביקות את המחשב ומאפשרות למתקפים גישה למידע אישי.

גניבת זהות היא תוצאה נפוצה של התקפות פישינג. כאשר תוקפים משיגים גישה לפרטי כניסה, הם יכולים להתחזות למשתמש, לגשת לחשבונות, לבצע העברות כספים, ולגרום נזקים כלכליים משמעותיים. במקרים חמורים, גניבת מידע רגיש יכולה להוביל לפריצה למחשב, חשיפת מידע ארגוני, ופגיעה במוניטין של החברה.

דואר זבל (Spam) הוא אחד הערוצים בהם מתבצעות מתקפות פישינג. מיילים המוניים נשלחים למאות אלפי נמענים, מתוכם חלק קטן עשוי ליפול בפח. התוקפים משתמשים במסרים מיידיים, ברשתות חברתיות, ובכל ערוץ תקשורת אפשרי כדי להגיע לקורבנות פוטנציאליים. הם מנצלים אירועים עכשוויים, חגים, קמפיינים שיווקיים, ומשברים כדי ליצור תחושת דחיפות ולהגביר את הסיכוי שהקורבן ילחץ על הקישור המזויף.

תעודת אבטחה (SSL/TLS Certificate) היא אחד הסימנים שאתר הוא לגיטימי וממוגן. אתרים ללא HTTPS ונעילה ירוקה בדפדפן עשויים להיות מזויפים. עם זאת, גם אתרים מזויפים יכולים להשיג תעודות אבטחה בסיסיות, ולכן חשוב לבדוק גם את הדומיין ואת כתובת האתר בקפידה. התחזות לבנק או למוסד פיננסי היא אחת הטכניקות הנפוצות ביותר, כיוון שאנשים נוטים לסמוך על הודעות כאלו ופועלים במהירות כשמדובר בכספים.

פרטי חשבון בנק, מספרי כרטיס אשראי, CVV, תאריכי תפוגה, ומספרי תעודת זהות הם המטרה העיקרית של הונאות פישינג. התוקפים משתמשים במידע זה כדי לבצע עסקאות לא מורשות, למכור את המידע ברשת האפלה, או לבצע גניבת זהות מלאה. חשוב לזכור שמוסדות פיננסיים לגיטימיים לעולם לא יבקשו סיסמאות או פרטי כרטיס אשראי באימייל או בהודעת SMS.

הדרכות אבטחת מידע והעלאת מודעות עובדים הן חיוניות להגנה מפני התקפות פישינג. ארגונים צריכים לבצע תרגילי סימולציית פישינג באופן קבוע כדי לבדוק את רמת המוכנות של העובדים ולזהות נקודות תורפה. תרגילים אלו עוזרים לעובדים ללמוד לזהות סימני אזהרה ולהגיב נכון כשהם נתקלים במייל חשוד, הודעת SMS חשודה, או שיחת טלפון מחשידה.

מונחים קשורים

אבטחת מידע (Information Security)

תחום רחב שעוסק בהגנה על מידע מפני גישה לא מורשית, שינוי, גניבה או השמדה. פישינג הוא אחד האיומים המרכזיים באבטחת מידע.

הנדסה חברתית (Social Engineering)

מניפולציה פסיכולוגית של אנשים לגרום להם לחשוף מידע או לבצע פעולות. פישינג הוא סוג של הנדסה חברתית המבוסס על יצירת אמון מזויף.

מילות מפתח נוספות

דואר זבל
מסר מיידי
קישור מזויף
דף התחברות מזויף
פרטי חשבון בנק
כרטיס אשראי
סיסמאות
תעודת אבטחה
דומיין מזויף
מוסד פיננסי
התחזות לבנק
קובץ מצורף זדוני
אתר התחברות מזויף
גניבת זהות
פריצה למחשב

דוגמאות אמיתיות להתקפות פישינג מוצלחות

מקרים מתועדים שממחישים את הסכנה וחשיבות ההגנה

התקפת פישינג על בנק ישראלי מוביל (2023)

קמפיין פישינג רחב היקף שכלל משלוח אלפי מיילים ו-SMS להודעות המתחזות לבנק ישראלי גדול. הקורבנות קיבלו הודעה דחופה על "חסימת חשבון בגלל פעילות חשודה" עם קישור לדף התחברות מזויף זהה לאתר הבנק.

השיטה: SMS + אתר מזויף עם דומיין דומה לבנק (עם שינוי קל)

התוצאה: מאות לקוחות הזינו פרטי כניסה וקודי אימות

הנזק: הפסדים כספיים משמעותיים לפני שהבנק חסם את הקמפיין

לקח: לעולם אל תלחצו על קישורים בהודעות מהבנק. היכנסו ישירות לאפליקציה או לאתר הרשמי.

התקפת BEC על חברת טכנולוגיה (2024)

תוקף התחזה למנכ"ל חברת טכנולוגיה ישראלית ושלח מייל למנהל הכספים בבקשה דחופה להעברת כספים לספק "חדש" בחו"ל. המייל נשלח מכתובת דומה מאוד לכתובת האמיתית של המנכ"ל, עם הוספת נקודה קטנה בדומיין.

השיטה: התחזות למנהל בכיר (CEO Fraud) עם דומיין ספופינג

התוצאה: העברת 2.3 מיליון דולר לחשבון של התוקפים

הנזק: חלק מהכסף לא הושב, נזק למוניטין, וחקירת משטרה

לקח: תמיד לאמת בקשות העברת כספים בטלפון/במפגש אישי, גם אם המייל נראה אמיתי.

קמפיין "החבילה שלך ממתינה" - חברת משלוחים (2024)

מיליוני הודעות SMS נשלחו למספרי טלפון ישראליים עם הטקסט: "החבילה שלך ממתינה במרכז החלוקה. לחץ כאן לתשלום דמי משלוח". הקישור הוביל לדף מזויף של חברת משלוחים ישראלית שביקש פרטי כרטיס אשראי.

השיטה: Smishing - פישינג ב-SMS עם התחזות לחברת משלוחים

התוצאה: עשרות אלפי ישראלים הזינו פרטי אשראי

הנזק: גניבת מידע כרטיסי אשראי, עסקאות לא מורשות, ותלונות רבות

לקח: חברות משלוחים לגיטימיות לא שולחות SMS עם קישורים לתשלום. תמיד היכנסו לאתר הרשמי בעצמכם.

Vishing - התחזות לתמיכה טכנית (2023)

קורבנות קיבלו שיחת טלפון מ"תמיכה טכנית" של חברת תוכנה גדולה שהזהירו על "וירוס מסוכן במחשב". התוקפים ביקשו גישה מרחוק למחשב "לתיקון", והתקינו תוכנות זדוניות וגנבו מידע רגיש.

השיטה: Vishing - פישינג טלפוני עם הנדסה חברתית

התוצאה: גישה מלאה למחשבים, התקנת תוכנות ריגול וגניבת סיסמאות

הנזק: גניבת מידע בנקאי, גישה לחשבונות, וחשיפת מידע אישי

לקח: חברות תוכנה גדולות לא מתקשרות באופן יזום. לעולם אל תתנו גישה מרחוק למישהו שהתקשר אליכם.

טיפים מתקדמים וכלים טכנולוגיים להגנה מפני פישינג

אסטרטגיות וטכנולוגיות שכל ארגון צריך ליישם

פרוטוקולי אימות מייל

יישום פרוטוקולים כמו SPF, DKIM, ו-DMARC מונע מתוקפים לשלוח מיילים מזויפים מהדומיין שלכם. זה מגן גם עליכם וגם על הלקוחות שלכם.

  • • SPF - מגדיר אילו שרתים יכולים לשלוח מייל מהדומיין
  • • DKIM - חתימה דיגיטלית לאימות מיילים
  • • DMARC - מדיניות איך לטפל במיילים שנכשלו באימות

אימות רב-גורמי (MFA)

הפעלת אימות דו-שלבי או רב-גורמי בכל השירותים הקריטיים. גם אם סיסמה נגנבה - התוקף לא יוכל להיכנס ללא הגורם השני.

  • • אפליקציות Authenticator (Google, Microsoft)
  • • מפתחות אבטחה פיזיים (YubiKey)
  • • אישור ביומטרי (טביעת אצבע, זיהוי פנים)

פתרונות Email Security

שימוש בפתרונות מתקדמים לסינון וזיהוי מיילים זדוניים לפני שהם מגיעים לתיבת הדואר של העובדים.

  • • Proofpoint, Mimecast, Barracuda
  • • ניתוח התנהגותי של מיילים
  • • הגנה מפני התחזות למותגים (Brand Impersonation)

מדריך מפורט: כיצד לבדוק אם מייל הוא פישינג

1בדיקת כתובת השולח

לחצו על שם השולח כדי לראות את כתובת המייל המלאה. חפשו:

  • דומיינים דומים עם שינויים קלים: paypa1.com במקום paypal.com
  • דומיינים ארוכים ומסורבלים: secure-bankhapoalim-verify-account.com
  • שימוש בשירותי דוא"ל חינמיים: gmail.com, yahoo.com במקום דומיין החברה

2ניתוח התוכן והסגנון

שימו לב לאיכות הכתיבה והעיצוב:

  • שגיאות כתיב וניסוח לקוי בעברית או אנגלית
  • ברכה כללית: "לקוח יקר" במקום שמכם האישי
  • עיצוב גרפי לא מקצועי או תמונות מטושטשות

3בדיקת קישורים לפני לחיצה

העבירו את העכבר מעל הקישור (ללא לחיצה) ובדקו:

  • האם הקישור האמיתי תואם לקישור המוצג?
  • האם הדומיין נכון? (לדוגמה: bankhapoalim.co.il)
  • היזהרו מקיצורי קישורים (bit.ly, tinyurl) - אי אפשר לדעת לאן הם מובילים

4זיהוי לחץ זמן ודחיפות מלאכותית

תוקפים יוצרים תחושת דחיפות כדי שתפעלו מהר ולא תחשבו:

  • "חשבונך ייחסם תוך 24 שעות אם לא תפעל מיד"
  • "זיהינו פעילות חשודה - אמת את זהותך עכשיו"
  • "הצעה מוגבלת - רק 2 שעות נותרו!"

סטטיסטיקות ומספרים: המצב העולמי של פישינג ב-2024-2025

נתונים מעודכנים ממחקרים בינלאומיים

94%

מהארגונים חוו לפחות ניסיון פישינג אחד בשנה האחרונה

1/3

מהפריצות כוללות התחזות או הנדסה חברתית

65%

עלייה במתקפות Vishing (פישינג טלפוני) מאז 2022

32%

מהעובדים לחצו על קישור חשוד בתרגיל פישינג

$17,700

עלות ממוצעת לארגון של מתקפת פישינג בודדת

3.1M

דולר - סכום הכופר הממוצע בהתקפות Ransomware שהחלו מפישינג

12+

שעות זמן תגובה ממוצע של ארגון למתקפת פישינג

15%

מהעובדים שנחשפו לתרגיל פישינג ייפלו שוב בתוך שנה

מגמות ותחזיות לעתיד

מגמות עולות ב-2025

  • AI-Powered Phishing: שימוש בבינה מלאכותית ליצירת מיילי פישינג מותאמים אישית ומתוחכמים יותר, כולל זיוף קולי (Deepfake Voice)
  • QR Code Phishing: שימוש בקודי QR זדוניים במקומות ציבוריים, במיילים ובהודעות
  • התקפות Multi-Channel: שילוב של מייל, SMS, טלפון ורשתות חברתיות באותה מתקפה
  • Phishing-as-a-Service: פלטפורמות שמאפשרות לכל אחד להשיק מתקפת פישינג בקלות

ענפים בסיכון גבוה

  • בנקאות ופיננסים: 23% מכל מתקפות הפישינג מכוונות לענף זה
  • בריאות: רשומות רפואיות הן מטרה יקרה בשוק השחור
  • ממשל: התקפות מתוחכמות על גופים ממשלתיים וצבאיים
  • חינוך: תשתיות פחות מוגנות ונתונים רבים של סטודנטים

השוואה מפורטת: סוגי התקפות פישינג

הבנת ההבדלים תעזור לכם לזהות איומים טוב יותר

סוג ההתקפהערוץרמת התוחכמותקהל יעדדוגמה
Phishing רגילמייל המונינמוכה-בינוניתהמוניםמיילים המוניים המתחזים לבנק
Spear Phishingמייל ממוקדגבוההאדם/ארגון ספציפימייל המתחזה לשותף עסקי ספציפי
Whalingמייל VIPגבוהה מאודמנכ"לים, CFO, דירקטוריםבקשה להעברת כספים מ"מנכ"ל"
SmishingSMSבינוניתרחב"החבילה שלך ממתינה - לחץ כאן"
Vishingטלפוןבינונית-גבוההפרטי/עסקיהתחזות לנציג בנק בשיחה
Clone Phishingמייל משוכפלגבוההמי ששלח/קיבל מייל לגיטימישכפול מייל אמיתי עם קישור מוחלף
BECמייל מנהליםגבוהה מאודמחלקות כספיםמייל מזויף מה-CEO לבקשת העברה

קישורים שימושיים - כלי בדיקה ודיווח

כלים מקצועיים לבדיקת קישורים, מיילים וקבצים חשודים

כלים בינלאומיים

Have I Been Pwned

haveibeenpwned.com →

בדיקה אם המייל או הטלפון שלכם נחשפו בפריצות מידע. שירות מוביל עולמי.

בדיקת פריצות

VirusTotal

virustotal.com →

סריקת קבצים, URLs וכתובות IP עם 70+ אנטי-וירוסים. בבעלות Google.

סריקת קבצים
בדיקת URLs

URLScan.io

urlscan.io →

בדיקה מעמיקה של אתרים וקישורים חשודים עם צילום מסך ופרטים טכניים.

סריקת קישורים

PhishTank

phishtank.com →

מאגר קהילתי של אתרי פישינג מאומתים. בדקו אם קישור מופיע במאגר.

מאגר פישינג

Google Safe Browsing

safebrowsing.google.com →

כלי הבדיקה של Google לאתרים מסוכנים ותוכנות זדוניות.

בדיקת אבטחה

AnyRun

any.run →

Sandbox אינטראקטיבי להרצת קבצים חשודים בסביבה מבודדת.

ניתוח Malware

דיווח ברשויות בישראל

מוקד סייבר לאומי

gov.il →

דיווח על אירועי סייבר והונאות ברשת למוקד הסייבר הלאומי הישראלי.

טלפון: 119

מוקד ממשלתי לדיווח על פישינג, הונאות ואיומי סייבר

משטרת ישראל - תלונות סייבר

gov.il →

הגשת תלונה רשמית למשטרה על הונאות אינטרנט וגניבת מידע.

דיווח למשטרה

רשות להגנת הפרטיות

gov.il →

דיווח על פריצות מידע וחשיפת מידע אישי.

הגנת פרטיות

בנק ישראל - הונאות פיננסיות

boi.org.il →

דיווח על הונאות פישינג הקשורות לבנקים וכרטיסי אשראי.

הונאות פיננסיות

חשוב לדעת

  • דווחו מיד לבנק אם הזנתם פרטים בטעות
  • שמרו צילומי מסך של הודעות חשודות
  • דיווח למשטרה חובה לתביעות ביטוח
  • אל תמחקו מיילים חשודים לפני דיווח

כלים נוספים לבדיקה ואימות

בדיקת אותנטיות דומיין

בדיקת מוניטין אתר

בדיקת קיצורי קישורים

שאלות ותשובות נפוצות על פישינג

תשובות מקיפות לשאלות הנפוצות ביותר

?האם אנטי-וירוס מגן מפני פישינג?

אנטי-וירוס מודרני כולל הגנה מסוימת מפני פישינג, אבל זה לא מספיק. הוא יכול לחסום אתרים מזויפים ידועים וקבצים זדוניים, אבל לא יזהה מיילי פישינג חדשים או מתוחכמים. ההגנה הטובה ביותר היא שילוב של טכנולוגיה + הדרכת עובדים + פרוטוקולי אבטחה.

?מה עושים אם לחצתי על קישור חשוד?

פעלו מיידית: (1) נתקו את המכשיר מהאינטרנט/WiFi, (2) סרקו את המחשב באנטי-וירוס, (3) החליפו סיסמאות מחשבון אחר, (4) הפעילו אימות דו-שלבי, (5) בדקו תנועות חשודות בחשבון בנק, (6) דווחו לצוות IT בארגון, (7) שקלו להתקשר לבנק/חברת אשראי. אל תיכנסו לחשבונות מהמכשיר עד שתוודאו שהוא נקי.

?איך יודעים אם דומיין הוא מזויף?

בדקו בקפידה: (1) טעויות כתיב קטנות (gooogle.com, paypa1.com), (2) תוספות לא שגרתיות (-secure, -verify, -login), (3) דומיינים ארוכים ומוזרים, (4) סיומות לא שגרתיות (.co.il במקום .com), (5) שימוש במספרים במקום אותיות. בדקו תמיד בדפדפן אם יש נעילה ירוקה (HTTPS), אבל זה לא מספיק - גם אתרים מזויפים יכולים לקבל תעודת HTTPS.

?האם יכולים להתחזות למספר הטלפון של הבנק שלי?

כן! זה נקרא Caller ID Spoofing. תוקפים יכולים לגרום למספר טלפון מזויף להופיע במסך שלכם, כולל המספר הרשמי של הבנק. לכן, גם אם אתם רואים מספר מוכר - אל תסמכו על זה. אם מישהו מתקשר ומבקש פרטים רגישים - תנתקו ותתקשרו חזרה למספר הרשמי של הבנק (לא למספר שהתקשר אליכם).

?האם פישינג קשור לרנסומוור (Ransomware)?

כן, קשר הדוק! 90% מהתקפות Ransomware מתחילות במתקפת פישינג. הקורבן לוחץ על קישור או מוריד קובץ מצורף זדוני, התוכנה נכנסת למערכת, מצפינה קבצים ודורשת כופר. לכן הגנה מפני פישינג היא למעשה הגנה מפני Ransomware.

?מהן ההשלכות המשפטיות על ארגון שחווה פריצת פישינג?

תלוי במדינה ובסוג המידע שנחשף: (1) קנסות רגולטוריים (GDPR, HIPAA), (2) תביעות ייצוגיות של לקוחות, (3) אחריות דירקטורים אישית, (4) חובת דיווח לרשויות תוך 72 שעות (GDPR), (5) פיצויים ללקוחות שנפגעו, (6) אובדן רישיונות עסקיים. בישראל - חוק הגנת הפרטיות ונב"ת 361 דורשים הגנה מתאימה ודיווח על פריצות.

?כיצד להגן על עובדים שעובדים מהבית (Work From Home)?

אתגר מיוחד! (1) VPN חובה לכל גישה למערכות הארגון, (2) אין שימוש ב-WiFi ציבורי, (3) הפרדה בין מחשב עבודה למחשב אישי, (4) הדרכות תקופתיות על פישינג, (5) דיווח מיידי על מיילים חשודים, (6) אימות רב-גורמי בכל המערכות, (7) עדכוני אבטחה אוטומטיים, (8) מדיניות סיסמאות חזקה.

?מה ההבדל בין פישינג לבין Pharming?

Pharming מתקדם יותר: במקום לרמות אתכם ללחוץ על קישור (פישינג), Pharming משנה את הגדרות ה-DNS שלכם כך שכשאתם מקלידים את הכתובת הנכונה (למשל bankhapoalim.co.il), אתם מועברים לאתר מזויף. זה מסוכן יותר כי אתם עושים הכל נכון אבל עדיין מגיעים לאתר המזויף. ההגנה: (1) אנטי-וירוס מעודכן, (2) דפדפן מעודכן, (3) בדיקת תעודת אבטחה של האתר.

רוצים להגן על הארגון שלכם מפני פישינג?

PhishingU מספקת תרגילי פישינג, סימולציות אבטחת מידע, והדרכות מודעות לעובדים

עדכוני אבטחה - ישירות למייל

מאמרים, כלים וטיפים מעולם הפישינג ואבטחת המידע