לזהות פישינג ותרמיות דואר עסקי לפני שזה עולה לכם ביוקר
איך לזהות מיילים שמנסים לגרום לעובדים להעביר כסף, למסור סיסמה או לשנות פרטי תשלום – לפני שהנזק קורה.
המתקפות היקרות ביותר על עסקים קטנים לא תמיד נראות כמו וירוס. לפעמים הן נראות כמו מייל רגיל מהבוס, מספק או מלקוח. ההודעה מבקשת פעולה מהירה, שינוי פרטי בנק, פתיחת קובץ או התחברות לחשבון – ובדיוק שם מתחיל הנזק.
איך נראית תרמית דואר עסקי
ל-BEC יש כמה צורות מוכרות. בתרמית מנכ"ל, מי שתוקף את העסק מתחזה למנהל או לבעלים ומבקש מעובד לבצע תשלום דחוף או לקנות כרטיסי מתנה 'בשקט'. בתרמית חשבוניות, ספק אמיתי או מזויף שולח חשבונית עם פרטי בנק חדשים, ומפנה תשלום לגיטימי למי שתוקף את העסק. בהשתלטות על חשבון, תיבת דואר אמיתית נפרצת והמי שתוקף את העסק עוקב אחר השיחות, ואז משתלב ברגע שבו תשלום אמור לצאת. המכנה המשותף הוא כסף או פרטי גישה, בתוספת תחושת דחיפות שמרתיעה מבדיקה כפולה.
סימני אזהרה להדריך עליהם את הצוות
למדו את העובדים להאט כשאימייל משלב כסף או מידע רגיש עם לחץ לפעול מהר או לשמור על דיסקרטיות. שימו לב לכתובות שולח שגויות בעדינות (דומיין דומה או כתובת תשובה שונה מהשם המוצג), שינויים בלתי צפויים בפרטי בנק או תשלום, בקשות שעוקפות נהלים רגילים, וניסוח חריג מאיש קשר מוכר. קישור שמבקש 'להתחבר כדי לצפות במסמך' הוא מלכודת קלאסית לגניבת סיסמאות – רחפו מעליו לפני לחיצה, ולעולם אל תזינו את סיסמת Microsoft 365 שלכם בעמוד שהגעתם אליו מאימייל.
בקרות טכניות שמפחיתות את הסיכון
מודעות עובדת הכי טוב לצד אמצעי הגנה טכניים. אכפו MFA בכל מקום כך שסיסמה גנובה לא תספיק להשתלטות על תיבת דואר. הגדירו SPF, DKIM ו-DMARC על הדומיין שלכם כדי שתוקפים לא יוכלו להתחזות בקלות לכתובת של החברה שלכם. הפעילו באנרים שמתריעים על שולח חיצוני והגנת אנטי-התחזות ב-Microsoft Defender for Office 365. יחד האמצעי הגנה האלה חוסמות חלק גדול מהניסיונות ומסמנות את אלה שעוברים.
בנו הרגל אימות
ההגנה האפקטיבית ביותר מפני הונאת תשלומים לא עולה דבר: אמתו כל שינוי בפרטי בנק או כל בקשת תשלום חריגה דרך ערוץ שני ומהימן – שיחת טלפון למספר מוכר, לא לפרטי הקשר שבאימייל החשוד. הפכו את זה לנוהל מפורש ובלתי מתפשר כך שעובדים ירגישו בנוח לעצור תשלום בלי חשש. תוקפים מסתמכים על דחיפות וסמכות; אמירה רגועה 'תנו לי לאמת את זה ישירות' מביסה את רובם.
לסגור את הפרצה לפני שהיא עולה לכם ביוקר
הפתרון הוא לא לצפות מכל עובד להיות מומחה סייבר. צריך נהלים פשוטים: לא משנים פרטי תשלום בלי אימות בערוץ נוסף, לא מתחברים לקישור חשוד ממייל, ולא עוקפים תהליך בגלל לחץ. כשההרגלים האלה מגובים בהגנות דואר נכונות, רוב הניסיונות נבלמים הרבה לפני שהם עולים כסף.
שאלות נפוצות
מהי התחזות עסקית (BEC)?
BEC היא מתקפה שמשתמשת באימייל משכנע – ולא בנוזקה – כדי לשכנע עובד להעביר כסף, לשנות פרטי בנק או למסור סיסמה. עבור עסקים קטנים רבים בישראל היא גורמת לנזק ישיר גדול יותר ממתקפת כופר, משום שהיא חומקת מההגנות הטכניות ופוגעת באדם עסוק.
מהן הצורות הנפוצות של BEC?
התחזות למנכ״ל (תוקף מתחזה למנהל ודורש תשלום דחוף), הונאת חשבוניות (פרטי הבנק של ספק משתנים כדי להפנות תשלום אמיתי) והשתלטות על חשבון (תיבת דוא״ל אמיתית נפרצת והתוקף משתלב כשמגיע מועד תשלום). כולן משלבות כסף או פרטי גישה עם תחושת דחיפות.
על אילו סימני אזהרה הצוות צריך לשים לב?
לחץ לפעול מהר או לשמור על דיסקרטיות סביב כסף, כתובות שולח שגויות במקצת, שינויים בלתי-צפויים בפרטי בנק או תשלום, בקשות שעוקפות נהלים רגילים, וכל קישור שמבקש 'להתחבר כדי לצפות במסמך'. רחפו עם העכבר לפני לחיצה, ולעולם אל תזינו סיסמה בעמוד שהגעתם אליו מאימייל.
איך עוצרים במיוחד הונאות תשלום?
בנו הרגל אימות: אשרו כל שינוי בפרטי בנק או כל בקשת תשלום חריגה דרך ערוץ שני ומהימן – שיחת טלפון למספר מוכר, ולא לפרטים שבאימייל. הפכו זאת לנוהל שאינו ניתן לערעור כדי שהצוות ירגיש בנוח לעצור תשלום.
אילו בקרות טכניות מפחיתות את סיכון הפישינג?
אכפו MFA בכל מקום, הגדירו SPF, DKIM ו-DMARC כדי שתוקפים לא יוכלו להתחזות בקלות לדומיין שלכם, והפעילו אזהרות שולח חיצוני והגנה מפני התחזות ב-Microsoft Defender for Office 365. יחד אלה חוסמים חלק גדול מהניסיונות ומסמנים את השאר.
מאמרים קשורים
למה כופרה פוגעת בעסקים קטנים – ומה מתקנים קודם
למה מתקפות כופר פוגעות דווקא בעסקים קטנים, איפה התוקפים בדרך כלל נכנסים, ומה כדאי לסגור קודם כדי לצמצם נזק והשבתה.
קרא את המאמרהעובדים שלכם הם חומת האש: הדרכת מודעות אבטחה שבאמת עובדת
איך להפוך הדרכת עובדים ממשהו מעיק להרגל עבודה שימושי שמונע פישינג, הונאות תשלום וטעויות אבטחה יומיומיות.
קרא את המאמרצ׳קליסט אבטחת Microsoft 365 שכל עסק צריך לבדוק
בדיקה פשוטה של ההגדרות שבאמת מגינות על Microsoft 365: אימות רב־שלבי, הרשאות מנהלים, שיתוף קבצים, אבטחת דואר ושחזור חשבונות.
קרא את המאמררוצים לאבטח את העסק בלי להקים צוות IT פנימי?
קבעו ייעוץ חינם וקבלו תמונת מצב ראשונית ומעשית על סביבת ה-IT ואבטחת Microsoft 365 שלכם.