BEC (Business Email Compromise) היא מתקפה שבה תוקף מתחזה למנהל בכיר, ספק, או עורך דין כדי לגרום להעברת כסף לחשבון שבשליטתו. ב-2024 גרמה לנזקים של $2.9 מיליארד בארה"ב בלבד.

מה ההבדל בין BEC ל-CEO Fraud?

CEO Fraud הוא תת-סוג של BEC שבו התוקף מתחזה ספציפית למנכ"ל ופונה לעובד כספים. BEC כולל גם התחזות לספקים, עורכי דין, ושותפים עסקיים.

BEC הונאה פיננסית 8 במרץ 2026 זמן קריאה: 7 דקות

BEC — מתקפת פישינג עסקי: $2.9 מיליארד בנזקים ב-2024

Q: כיצד מזהים מתקפת BEC?

סימני אזהרה: בקשה דחופה להעברה בנקאית ממנהל בכיר, שינוי פרטי בנק של ספק קיים, מייל שנשלח מדומיין דומה (לא זהה), בקשה לשמור בסוד, לחץ זמן. תמיד לאמת בקשות פיננסיות בטלפון.

Business Email Compromise (BEC) היא לא רק מתקפת סייבר — היא ההונאה הפיננסית הגדולה ביותר בעולם. בניגוד לוירוסים ורנסומוור, BEC לא דורשת כישורים טכניים מיוחדים. היא דורשת רק שחקן טוב ומייל אחד משכנע. ב-2024 דיווח ה-FBI על נזקים של $2.9 מיליארד — ואלה רק המקרים שדווחו.

$2.9B

נזקים ב-2024 (FBI IC3)

21,489

תלונות BEC ב-2024

$137K

נזק ממוצע למקרה

62%

מהמקרים — התחזות לספקים

הגדרה: BEC היא מתקפה שבה תוקף מתחזה למנהל בכיר, ספק, עורך דין, או גורם עסקי אחר — ומנסה לגרום לעובד להעביר כסף, לשנות פרטי בנק, או לשלוח מידע רגיש.

5 סוגי BEC — כיצד פועלים?

1. CEO Fraud (הונאת מנכ"ל)

התוקף שולח מייל שנראה מהמנכ"ל לעובד כספים: "אני בפגישה חשובה, אני צריך העברה דחופה של 200,000 ש"ח לספק חדש. שמור בסוד עד שאחזור." עד שמישהו מבין — הכסף כבר ביעד לא ניתן לשחזור.

2. Vendor Impersonation (התחזות לספק)

התוקף פורץ לתיבת המייל של ספק קיים, מחכה לרגע הנכון, ואז שולח חשבונית עם פרטי בנק שהשתנו. הלקוח משלם — לתוקף.

3. Attorney Impersonation (התחזות לעורך דין)

"אני עורך הדין המטפל בעסקת הנדל"ן שלכם. העברת הכספים צריכה להתבצע לפני סגירת בית המשפט היום." לחץ, סמכות, דחיפות — שלושת המרכיבים של BEC מוצלח.

4. Employee Payroll Fraud (שינוי חשבון משכורת)

מייל ל-HR שנראה מעובד: "שינוי פרטי בנק לתשלום משכורת." התוקף מקבל את המשכורת. העובד האמיתי לא מקבל כלום.

5. Real Estate BEC

פורץ לתכתובת בין קונה, מוכר ועורכי דין בעסקת נדל"ן. רגע לפני סגירה, שולח הוראות לשלם לחשבון שהשתנה "בגלל בעיה טכנית".

מקרה אמיתי מישראל (2025): חברת ייצוא ישראלית קיבלה מייל ממה שנראה כלקוח גרמני קבוע — שינוי פרטי בנק לתשלום חשבונית בסך €180,000. רואה חשבון שינה את הפרטים ב-ERP. הכסף הועבר. שבועיים לאחר מכן פנה הלקוח האמיתי לבדוק היכן התשלום — גילוי שהמייל המקורי זויף.

כיצד מזהים מתקפת BEC?

בקשה דחופה והעברת כסף — "חייב להיות היום", "לפני סגירת הבנק"
דומיין דומה אך לא זהה — company-il.com במקום company.co.il
שינוי פרטי בנק של ספק קיים
בקשה לשמור "בסוד" ולא לדבר עם אחרים
מנהל שמבקש דבר חריג מחוץ לנהלים הרגילים
כתובת Reply-To שונה מכתובת ה-From

5 אמצעי מניעה שעובדים

אמת בטלפון — כל שינוי פרטי בנק ובקשה פיננסית חריגה מעל סכום מסוים → שיחת טלפון לאישור (לא מייל)
MFA על כל תיבות המייל — מונע גישה לתיבת ספק שנפרצה
DMARC p=reject — מונע זיוף הדומיין שלכם
Dual Approval — כל העברה מעל X ש"ח דורשת אישור של שניים
הדרכת עובדים — במיוחד כספים, HR, ו-IT שמטפלים בשינויים פיננסיים

מהו BEC?

BEC (Business Email Compromise) היא מתקפה שבה תוקף מתחזה לגורם עסקי מהימן כדי לגרום להעברה פיננסית לא מורשית. הנזק הממוצע: $137,000 למקרה.

האם BEC מכוסה בביטוח סייבר?

תלוי בפוליסה. חלק מהביטוחים מכסים BEC כ"Social Engineering Fraud", אחרים לא. חשוב לבדוק מפורשות. גם כשמכוסה — תהליך גביית הביטוח ארוך ומסובך.

כיצד מונעים BEC?

אימות טלפוני לכל שינוי פיננסי, MFA על כל מיילים, DMARC p=reject, dual approval לתשלומים גדולים, והדרכת עובדים בכספים ו-HR.

האם העובדים שלכם יזהו מייל BEC?

בדקו עם סימולציית BEC מותאמת לארגון — גלו נקודות תורפה לפני שתוקף אמיתי מגלה אותן

למידע על הגנת BEC ←