דלג לתוכן הראשי

כיצד להגן על עצמך מפני מתקפות פישינג

פישינג הוא הגורם מספר 1 לגניבת חשבונות. כך עובד פישינג מודרני, אילו סימנים מזהירים קיימים וכיצד להתגונן בצורה אפקטיבית.

עודכן לאחרונה: 14 באפריל 2026

תקציר

  • פישינג הוא הגורם מספר 1 להשתלטות על חשבונות — תוקפים מרמים אותך להזין פרטי גישה באתר מזויף.
  • ערכות פישינג מודרניות משכפלות דפי כניסה בדיוק מושלם ומעבירות את קודי ה-2FA שלך בזמן אמת.
  • מפתחות אבטחה פיזיים (YubiKey, FIDO2) הם ההגנה היחידה שהיא עמידה לפישינג מעצם עיצובה.
  • מנהלי סיסמאות מגנים עליך בכך שהם מסרבים להשלים אוטומטית פרטים בדומיין הלא נכון.
  • בדוק את הדומיין המדויק לפני הזנת פרטי גישה, ולעולם אל תיכנס למערכת דרך קישור שהגיע במייל.

מהו פישינג?

פישינג הוא מתקפת הנדסה חברתית שבה תוקף יוצר עותק משכנע של אתר לגיטימי — לעיתים קרובות מושלם בכל פיקסל — ומרמה קורבן להזין בו פרטי גישה. ברגע שהקורבן שולח את הטופס, התוקף לוכד את שם המשתמש, הסיסמה וכל גורם אימות שני, ואז משתמש בהם כדי להשתלט על החשבון האמיתי תוך שניות.

השם לקוח ממטאפורת "דיג" של קורבנות עם פיתיון (בדרך כלל מייל). האיות שונה להדגיש שתוקפים משתמשים לעיתים קרובות במספרי טלפון (פישינג ב-SMS, או "smishing") ובתשתית בעלת מראה מקצועי.

מדוע פישינג עדיין האיום מספר 1

רוב פרצות החשבונות הגדולות כיום אינן כרוכות בפריצה, פיצוח סיסמאות או עקיפת הצפנה. הן כרוכות באדם שמקליד סיסמה באתר מזויף. פישינג הוא:

  • זול — תוקף יכול לשלוח מיליוני מיילים בעלות של שרת VPS ודומיין מזויף
  • קשה לסינון — ערכות מודרניות מחליפות דומיינים, משתמשות באחסון לגיטימי ומתאימות את עצמן לפילטרים בזמן אמת
  • אפקטיבי — אפילו משתמשים מודעים לאבטחה נופלים בפח בניסיונות ממוקדים ומוקפדים (spear phishing)
  • ניתן להרחבה — פישינג מוצלח אחד מניב לעיתים קרובות גישה לעשרות שירותים מחוברים דרך שימוש חוזר בסיסמאות

דו"ח חקירות פרצות הנתונים של Verizon לשנת 2024 מצא כי פישינג היה וקטור הגישה הראשוני ביותר מ-36% מכלל הפרצות — יותר מכל גורם בודד אחר.

כיצד פישינג מודרני עובד

פישינג התפתח רחוק מעבר לאימיילים של "הנסיך הניגרי" של שנות ה-2000. מתקפת פישינג מודרנית כוללת בדרך כלל:

1. פיתיון משכנע

בדרך כלל מייל, הודעת טקסט או הודעת צ'אט שיוצרים דחיפות ("החשבון שלך יושעה"), סמכות ("צוות האבטחה של Microsoft") או סקרנות ("מישהו תייג אותך בתמונה"). Spear-phishing מרחיק לכת עם פרטים אישיים שנלקחו מ-LinkedIn, ממאגרי פרצות נתונים או מהתכתבות קודמת.

2. אתר מזויף מושלם בכל פיקסל

תוקפים משתמשים בערכות פישינג מוכנות לשימוש המשכפלות את ה-HTML, ה-CSS וה-JavaScript של האתר המטרה. ערכות רבות נמכרות כשירות (phishing-as-a-service), עם לוחות בקרה פועלים ותמיכת לקוחות.

3. proxy בזמן אמת ל-2FA

החלק המסוכן: ערכות מודרניות אינן רק לוכדות את הסיסמה שלך. הן פועלות כproxy של איש-באמצע שמעביר כל מה שאתה מקליד — כולל קוד ה-TOTP שלך — לאתר האמיתי תוך שניות, ועוקף את רוב שיטות ה-2FA. טכניקה זו נקראת adversary-in-the-middle (AiTM) ומשמשת בכלים כמו Evilginx2 ו-Modlishka.

4. גניבת טוקן סשן

לאחר שאתה מאמת את עצמך דרך ה-proxy, התוקף לוכד את עוגיית הסשן שלך ויכול להשתמש בה כדי להישאר מחובר גם לאחר שתשנה את הסיסמה. לכן תגובה לפישינג כוללת תמיד ביטול סשנים פעילים, ולא רק החלפת סיסמה.

מה שאכן עוצר פישינג

מפתחות אבטחה פיזיים (FIDO2 / WebAuthn)

זוהי הקטגוריה היחידה של הגנה שהיא עמידה לפישינג מעצם עיצובה. כאשר אתה מתחבר עם מפתח FIDO2, המפתח מאמת קריפטוגרפית את הדומיין המדויק של האתר המבקש אימות. אתר מזויף — לא משנה כמה הוא נראה מושלם חזותית — כולל דומיין שונה, ולכן המפתח מסרב להגיב. לחיצת היד הקריפטוגרפית פשוט אינה מסתיימת.

Google הטילה בפרסום את השימוש ב-YubiKeys על כל יותר מ-85,000 עובדיה בשנת 2017 ודיווחה על אפס מתקפות פישינג מוצלחות על חשבונות החברה בשנים שלאחר מכן.

Passkeys

Passkeys הם ההתפתחות הידידותית לצרכן של FIDO2. הם משתמשים באותה קריפטוגרפיה הכבולה לדומיין ומובנים ב-iOS, Android, macOS ו-Windows. אם אתר שבו אתה משתמש תומך ב-passkeys, הפעלת אחד הופכת את אותו חשבון לעמיד לפישינג.

מנהלי סיסמאות

מנהל סיסמאות הוא קו ההגנה השני שלך מפני שהוא משלים אוטומטית פרטי גישה רק על הדומיין המדויק שבו נשמרו. אם הגעת ל-paypaI.com (אות I גדולה) במקום paypal.com, המנהל שלך מסרב בשקט למלא את הטופס. הסירוב הזה הוא אזהרה חזקה שמשהו אינו תקין.

סינון מייל ו-DNS

ספקי מייל משתמשים ב-DMARC, SPF ו-DKIM לזיהוי כתובות שולח מזויפות. רוב הספקים המודרניים מזהים את הניסיונות הברורים, אך מתקפות ממוקדות עדיין חומקות. הפעל את כפתורי "דיווח על פישינג" בלקוח המייל שלך כדי לסייע לשיפור הפילטרים.

סימנות אזהרה לשים לב אליהם

כאשר אתה מקבל הודעה המבקשת ממך להתחבר, לאמת או לפעול בדחיפות:

  • דחיפות ואיומים — "החשבון שלך ייסגר תוך 24 שעות"
  • פניות גנריות — "לקוח יקר" במקום השם שלך
  • דומיינים הדומים לאמיתייםpaypaI.com, app1e.com, secure-microsoft-login.net
  • קבצים מצורפים בלתי צפויים — במיוחד קבצי .zip, .html או .pdf המבקשים ממך להתחבר כדי לצפות בהם
  • שגיאות דקדוק או עיצוב — חברות גדולות עורכות הגהה למיילים שלהן
  • אי-התאמה בקישור — רחף מעל הקישור ובדוק אם היעד תואם לטקסט

אם משהו נראה חשוד, סגור את המייל. נווט לאתר באופן ידני. אם קיימת בעיה אמיתית, תראה אותה כאשר תתחבר דרך הדרך הרגילה שלך.

מה לעשות אם נפלת בפח

פעל במהירות — המהירות חשובה מכיוון שתוקפים מתחילים להשתמש בפרטי גישה תוך דקות.

  1. שנה את הסיסמה מיד במכשיר אחר (הטלפון שלך, למשל, אם נפלת בפח במחשב הנייד)
  2. בטל את כל הסשנים הפעילים בהגדרות החשבון — פעולה זו מסלקת כל מי שמשתמש כרגע בטוקני סשן גנובים
  3. הפעל 2FA אם עדיין לא היה מופעל, והשתמש במפתח חומרה או passkey אם אפשרי
  4. בדוק פעילות לא מורשית — מיילים שנשלחו, כניסות אחרונות, שינויי חיוב, כללי העברה חדשים
  5. הודע לגוף הפגוע אם מדובר בחשבון פיננסי או עסקי
  6. בדוק חשבונות אחרים שהשתמשו באותה סיסמה — גם אם אתה בטוח שאינך משתמש חוזר בסיסמאות, בדוק

סיכום

פישינג משגשג מכיוון שהוא עוקף טכנולוגיה ומכוון לבני אדם. ההגנות הטובות ביותר משלבות שלוש שכבות: מנהלי סיסמאות (מסרבים להשלים אוטומטית בדומיינים שגויים), 2FA עמיד לפישינג (מפתחות חומרה או passkeys הקושרים לדומיין האמיתי) וספקנות בריאה (לעולם אל תתחבר דרך קישור במייל).

הפעל את כל השלושה על החשבון החשוב ביותר שלך — המייל — קודם כל. משם, שאר חייך הדיגיטליים הופכים לבטוחים באופן משמעותי.

כיצד להגן על עצמך מפני פישינג

רשימת בדיקה מסודרת ומעשית להקשחת חשבונותיך מפני מתקפות פישינג.

  1. השתמש במנהל סיסמאות:התקן מנהל סיסמאות אמין (1Password, Bitwarden, Proton Pass) ואפשר לו להשלים פרטי גישה אוטומטית. הוא יסרב להשלים אוטומטית בדומיינים הדומים לאמיתיים, ויעניק לך גלאי פישינג מובנה.
  2. הפעל 2FA עמיד לפישינג:הוסף מפתח חומרה מסוג FIDO2 (YubiKey, Google Titan) או passkey לחשבונות החשובים ביותר שלך — קודם כל למייל, ואחר כך לבנקאות, אחסון בענן ומנהל הסיסמאות. אלה שיטות ה-2FA היחידות שאכן עוצרות פישינג מודרני.
  3. לעולם אל תיכנס למערכת דרך קישורים במייל:כאשר אתה מקבל מייל שמבקש ממך להתחבר, סגור את המייל ונווט לאתר באופן ידני דרך סימנייה או על ידי הקלדת ה-URL. הקישור במייל עלול להיות שכפול מושלם; הסימנייה בדפדפן שלך אינה כזאת.
  4. בדוק את הדומיין המדויק לפני ההקלדה:לפני הזנת סיסמה כלשהי, בחן את ה-URL המלא בשורת הכתובת. חפש HTTPS, איות נכון ואין תת-דומיינים מיותרים כגון paypal.com.secure-login.net.
  5. דווח והמשך הלאה:דווח על ניסיון הפישינג לספק המייל שלך (לרוב יש כפתור "דיווח על פישינג"). לאחר מכן המשך את יומך — פישינג מסוכן רק אם נפלת בפח, ומודעות היא רוב הקרב.

שאלות נפוצות