מתקפת BEC — Business Email Compromise — היא אחת ממתקפות הסייבר המתוחכמות והיקרות ביותר כיום. בסוג זה של מתקפה, תוקפים מתחזים לבכירים בארגון — מנכ"ל, סמנכ"ל כספים או ספק מהימן — ושולחים מייל שנראה לגיטימי לחלוטין, במטרה לגרום לעובד לבצע העברה כספית או לחשוף מידע רגיש. לפי דוח FBI IC3 לשנת 2024, מתקפות BEC גרמו לנזקים בהיקף של כ-2.77 מיליארד דולר בשנה אחת בלבד בארה"ב.
מהי מתקפת BEC ובמה היא שונה מפישינג רגיל?
בעוד מתקפת פישינג קלאסית מופנית לקהל רחב ומתבססת על הודעות גנריות, מתקפת BEC היא ממוקדת ומותאמת אישית. התוקף חוקר את הארגון לעומק — מבנה ארגוני, שמות מנהלים, ספקים קבועים וסגנון התכתבות — ומשתמש בידע זה כדי ליצור הודעת דוא"ל שנראית אותנטית לחלוטין. בניגוד לפישינג שמשתמש בקישורים זדוניים או קבצים מצורפים נגועים, מתקפת BEC לרוב אינה מכילה נוזקה כלל. ההונאה מתבססת על הנדסה חברתית בלבד — שכנוע העובד שההנחיה הגיעה מגורם מוסמך בארגון.
סוגי מתקפות BEC — חמשת הווקטורים המרכזיים
מערך הסייבר הלאומי וה-FBI מסווגים מתקפות BEC לחמישה סוגים עיקריים, כאשר כל אחד מהם מנצל וקטור תקיפה שונה. הטבלה הבאה מפרטת את כל סוג, את שיטת הפעולה שלו ואת המטרה העיקרית:
| סוג מתקפה | שם באנגלית | שיטת פעולה | קורבן עיקרי |
|---|---|---|---|
| הונאת מנכ"ל | CEO Fraud | התחזות למנכ"ל/בכיר עם הוראה דחופה להעברת כספים | מחלקת כספים |
| חשבונית מזויפת | Invoice Fraud | שינוי פרטי חשבון בנק בחשבונית של ספק אמיתי | צוות רכש / חשבונאות |
| התחזות לעורך דין | Attorney Impersonation | התחזות ליועץ משפטי בעסקה חסויה הדורשת העברה מיידית | הנהלה בכירה |
| פריצה לתיבת מייל | Account Compromise | השתלטות על חשבון מייל אמיתי ושליחת הנחיות מתוכו | לקוחות וספקים |
| גניבת מידע | Data Theft | בקשה לשליחת נתוני שכר, טפסי מס או מידע אישי של עובדים | משאבי אנוש |
כיצד מתבצעת מתקפת BEC — שלבי התקיפה
מתקפת BEC אינה מתרחשת באקראי — מדובר בתהליך מתוכנן ושיטתי שיכול להימשך שבועות ואף חודשים. התוקפים משקיעים זמן רב במחקר מקדים לפני שהם שולחים את הודעת הדוא"ל המכרעת. האינפוגרפיקה הבאה מציגה את חמשת השלבים של מתקפה טיפוסית:
למה מתקפות BEC כל כך מסוכנות לארגונים בישראל?
ארגונים ישראליים חשופים במיוחד למתקפות BEC ממספר סיבות. ראשית, תרבות העבודה בישראל מאופיינת בהיררכיה שטוחה ובתקשורת ישירה — כאשר עובד מקבל מייל ממנכ"ל, הוא נוטה לבצע את ההוראה במהירות ללא שאלות מיותרות. שנית, ישראל מהווה מרכז טכנולוגי עולמי עם עסקאות בינלאומיות רבות, מה שהופך העברות כספים חוצות גבולות לשגרתיות ופחות חשודות. בנוסף, עסקים קטנים ובינוניים בישראל לרוב אינם מטמיעים פרוטוקולי אימות כפול לתשלומים, מה שמשאיר אותם פגיעים.
טכניקות Email Spoofing — כיצד התוקפים מזייפים את כתובת השולח
תוקפי BEC משתמשים במספר טכניקות כדי לגרום למייל להיראות כאילו נשלח מגורם לגיטימי בארגון. הטכניקה הנפוצה ביותר היא Domain Spoofing — זיוף שם הדומיין כך שהמייל נראה כאילו נשלח מ[email protected], בעוד בפועל הוא נשלח משרת חיצוני. טכניקה נוספת היא שימוש ב-Lookalike Domains — רישום דומיינים דומים כמו cornpany.co.il במקום company.co.il, כאשר ההחלפה בין האותיות "m" ו-"rn" כמעט בלתי ניתנת להבחנה בקריאה מהירה. תוקפים מתקדמים עלולים גם לבצע Account Takeover — השתלטות בפועל על תיבת המייל של המנהל באמצעות סיסמה שדלפה או מתקפת Credential Stuffing.
כיצד לזהות מתקפת BEC — סימני אזהרה קריטיים
למרות רמת התחכום הגבוהה, ניתן לזהות מתקפות BEC על ידי שימת לב לסימנים מסוימים. בדקו תמיד את כתובת המייל המלאה ולא רק את שם התצוגה — Display Name ניתן לזיוף בקלות. שימו לב לבקשות דחופות שמגיעות דווקא כשהמנהל אמור להיות בפגישה, בנסיעה או שלא זמין לאימות טלפוני. היזהרו מהנחיות לשנות פרטי חשבון בנק של ספק קבוע, ובמיוחד ממיילים שמדגישים סודיות או מבקשים לא לעדכן גורמים נוספים. כמו כן, בקשה לביצוע העברה בנקאית חד-פעמית לחשבון חדש שלא הופיע בעבר במערכת צריכה להדליק נורה אדומה מיידית.
אמצעי הגנה ארגוניים מפני מתקפות BEC
ההגנה האפקטיבית מפני מתקפות BEC מחייבת שילוב של אמצעים טכנולוגיים, נהלים ארגוניים והדרכת עובדים. ברמה הטכנית, חיוני להטמיע את שלושת פרוטוקולי אימות המייל: SPF (Sender Policy Framework) שמגדיר אילו שרתים מורשים לשלוח מייל בשם הדומיין שלכם, DKIM (DomainKeys Identified Mail) שמוסיף חתימה דיגיטלית לכל הודעה, ו-DMARC (Domain-based Message Authentication) שקובע מדיניות לטיפול במיילים שנכשלים באימות. ארגון שמטמיע את שלושת הפרוטוקולים האלה עם מדיניות DMARC של "reject" מקטין משמעותית את הסיכוי שתוקף יזייף את הדומיין שלו. בנוסף, הטמיעו אימות רב-שלבי (MFA) בכל חשבונות המייל הארגוניים כדי למנוע Account Takeover.
ברמה הנוהלית, קבעו פרוטוקול אימות כפול לכל העברה כספית מעל סכום מוגדר מראש — למשל, כל העברה מעל 5,000 שקלים מחייבת אישור טלפוני מהגורם שנתן את ההנחיה, באמצעות מספר טלפון שנלקח ממערכת פנימית ולא מהמייל עצמו. ארגונים שמקיימים הדרכות עובדים בנושא אבטחת מידע באופן שוטף מצליחים לצמצם את שיעור ההצלחה של מתקפות BEC באופן ניכר.
מה לעשות אם נפלתם קורבן למתקפת BEC?
אם אתם חושדים שבוצעה מתקפת BEC כנגד הארגון שלכם, הזמן הוא הגורם הקריטי ביותר. פעלו מיידית: צרו קשר עם הבנק ובקשו לעצור או להחזיר את ההעברה — ככל שתפעלו מהר יותר, כך גדלים הסיכויים להשבת הכספים. דווחו למערך הסייבר הלאומי של ישראל ולמשטרת ישראל. שנו את הסיסמאות של כל חשבונות המייל שנחשפו והפעילו MFA אם עדיין לא הופעל. תעדו כל פרט — שעת קבלת המייל, כתובת השולח, תוכן ההודעה ופרטי ההעברה הכספית. ולבסוף, בצעו חקירה פורנזית של מערכות המייל כדי לקבוע אם חשבון מייל ארגוני נפרץ בפועל. אם ארגונכם מוכן מראש להתמודדות עם מתקפות סייבר, תהליך התגובה יהיה מהיר ויעיל יותר.
בדיקות חדירה כאמצעי מניעה — סימולציית BEC ארגונית
אחת הדרכים היעילות ביותר לבחון את מוכנות הארגון למתקפות BEC היא ביצוע סימולציה מבוקרת. במסגרת בדיקת חדירות מקצועית, צוות אבטחה אתי (Red Team) מדמה מתקפת BEC אמיתית — שולח מיילים מזויפים לעובדי הארגון ובודק מי מגיב, מי מדווח ומי מבצע את ההנחיה. תוצאות הסימולציה חושפות פערים בנהלים, בהדרכה ובמערכות האבטחה הטכניות, ומאפשרות לארגון לחזק את שרשרת ההגנה לפני שתוקף אמיתי ינצל אותן.
שאלות נפוצות על מתקפות BEC
האם מתקפת BEC יכולה לפגוע בעסק קטן או שזה רלוונטי רק לחברות גדולות?
מתקפות BEC פוגעות בארגונים מכל גודל. דווקא עסקים קטנים ובינוניים נמצאים בסיכון גבוה יותר, כיוון שלרוב אין להם מחלקת אבטחת מידע ייעודית, פרוטוקולי אימות תשלומים מסודרים או מערכות סינון מייל מתקדמות. לפי נתוני CISA, עסקים קטנים מהווים יעד מועדף לתוקפי BEC בשל רמת ההגנה הנמוכה יחסית.
האם תוכנת אנטי-וירוס מגינה מפני מתקפות BEC?
לא. מתקפות BEC אינן מבוססות על נוזקה, וירוסים או קבצים זדוניים, ולכן תוכנת אנטי-וירוס לא תזהה אותן. ההגנה נדרשת ברמת פרוטוקולי מייל (SPF, DKIM, DMARC), מערכות Email Security Gateway עם יכולות AI לזיהוי אנומליות, ובעיקר — מודעות עובדים ונהלי אימות כפול לעסקאות כספיות.
מהם הנזקים הכספיים הממוצעים של מתקפת BEC?
לפי דוח FBI IC3, בין השנים 2013-2023 דווחו נזקים מצטברים של מעל 55 מיליארד דולר ממתקפות BEC ברחבי העולם. בשנת 2024 לבדה דווחו כ-21,000 תלונות עם נזק כולל של כ-2.77 מיליארד דולר. הנזק הממוצע לאירוע בודד נע בין עשרות אלפי דולרים למאות אלפי דולרים, תלוי בגודל הארגון.
כיצד פרוטוקול DMARC עוזר למנוע מתקפות BEC?
פרוטוקול DMARC (בהתאם להמלצות NIST) מאפשר לבעל הדומיין להגדיר מדיניות שקובעת מה לעשות עם מיילים שנכשלים באימות SPF ו-DKIM. כאשר המדיניות מוגדרת ל-"reject", שרתי המייל המקבלים ידחו הודעות שמתחזות לדומיין שלכם. זה לא מונע לחלוטין מתקפות BEC — תוקף עדיין יכול להשתמש בדומיין דומה — אבל זה סוגר את הווקטור של Domain Spoofing ישיר.
דיסקליימר: המידע המופיע במאמר זה הינו למטרות מידע כללי בלבד. בדיקות חדירות וסקרי סיכונים חייבות להתבצע על ידי מומחה אבטחת מידע מוסמך ובהתאם להסכם מסודר. ביצוע בדיקות חדירות ללא אישור מפורש מהארגון הנבדק עלול להיות עבירה פלילית.
צוות Penetration Test | מומחי אבטחת מידע ובדיקות חדירות
penetrationtest.co.il