מהי הונאת BEC ואיך היא עובדת בפועל?
קיבלתם מייל מה"מנכ"ל" שמבקש להעביר 200,000 ש"ח לספק חדש עד סוף היום. הוא בחו"ל, לא זמין בטלפון. הדחיפות מכריחה — ואתם מעבירים. יומיים אחר כך מגלים שהמייל היה מזויף.
זו הונאת BEC — Business Email Compromise. היא לא מתחילה בפריצה לרשת שלכם, אלא בהנדסה חברתית: מישהו מחקה כתובת מייל אמינה (לפעמים שונה ב-אות אחת), בונה אמינות, ומנצל לחץ ודחיפות. הכסף עובר — לעיתים קרובות לחשבונות בחו"ל — ואז עוקבים אחריו קשה.
שלושה תרחישי BEC נפוצים: זיוף כתובת מנהל — מייל לחשבות בשם המנכ"ל מבקש תשלום דחוף. התחזות לספק — מייל ממה שנראה כמו ספק קיים, עם פרטי חשבון בנק "מעודכנים". פשרת חשבון אמיתי — פורצים לחשבון מייל פעיל של שותף עסקי ושולחים מתוכו. האחרון הוא הכי מסוכן כי הכל אמיתי — רק הוראת התשלום שקרית.
האם העסק שלכם אחראי אם עובד "נפל" בהונאה?
שאלה שכל בעל עסק שואל: אם עובד בחשבות העביר כסף בגלל מייל מזויף — מי אחראי? התשובה המשפטית אינה חד-משמעית, אך יש כיוון ברור.
מנגד — מעסיק שלא הכשיר עובדים, לא הטמיע נהלי אימות, ולא אסר על העברות גדולות ללא אישור כפול, עשוי לשאת באחריות לרשלנות תורמת. פקודת הנזיקין מטילה על מעסיק חובת זהירות כלפי צדדים שלישיים שניזוקו מפעולות עובדיו — ובמקרים מסוימים גם כלפי עצמו.
מנגד — עובד שפעל בתום לב, לא חרג מסמכותו, ולא היה בידיו מידע שהיה מעורר חשד סביר — לא יישא אישית באחריות. חברת הביטוח שלכם עשויה לכסות (ראו בהמשך), אבל רק אם היו לכם נהלים בסיסיים שהוכחתם שהפעלתם.
איך מזהים ניסיון הונאה לפני שהכסף יוצא?
הסימנים שמחייבים עצירה ובדיקה:
דחיפות מלאכותית — "חייב להיות היום", "אל תדברי עם אחרים", "זה חשאי". זה אדום מיידי. כתובת מייל כמעט-זהה — ceo@company-il.com במקום ceo@company.co.il. שימו לב לתחום, לא רק לשם. בקשה לשנות פרטי חשבון — ספק שמבקש לשנות חשבון בנק צריך לאומת בטלפון למספר שמופיע אצלכם ממקור אחר, לא מהמייל שלו. שגיאות כתיב או ניסוח לא טיפוסי — מנהל שבדרך כלל כותב בסגנון מסוים, פתאום כותב אחרת.
הכלל הזהב: כל הוראת תשלום מעל סכום שקבעתם מראש (לדוגמה 10,000 ש"ח) טעונה אימות קולי — שיחת טלפון למספר המוכר לכם, לא להתקשר לפי מספר שהופיע בהודעה.
מה עושים כשמגלים שנפלתם — 24 השעות הקריטיות
שלב 1 — הבנק, עכשיו: התקשרו מיד לבנק ובקשו לעצור את ההעברה. אם היא עדיין בתהליך סליקה בין-בנקאי — לפעמים ניתן לעצור אותה. ככל שמגיבים מהר יותר, הסיכוי גבוה יותר. ספקו את פרטי ההעברה במלואם.
שלב 2 — תיעוד מיידי: שמרו את כל המיילים — אל תמחקו דבר. צלמו מסכים. תיעדו מי עשה מה ומתי. זה ייצור את בסיס התביעה ואת ה-timeline לחברת הביטוח ולמשטרה.
שלב 3 — דיווח למשטרה: הגישו תלונה ביחידת הסייבר. חקירה לוקחת זמן — אבל הדיווח עצמו חשוב להוכחת תביעה עתידית, ולפעמים שיתוף פעולה בין גופי אכיפה מחו"ל ומישראל מוביל לאיתור הגנבים.
שלב 4 — עורך דין: אם מדובר בסכום משמעותי, ייעוץ משפטי מוקדם יאפשר לשקול תביעה אזרחית, פנייה לבית משפט לסעד זמני (עיכוב יציאת כספים), ובדיקת כיסוי ביטוחי.
כיצד להגן על העסק: נהלים שמונעים BEC
שלושה נהלים שמפחיתים את הסיכון דרמטית:
אימות כפול לתשלומים: כל תשלום מעל סכום שקבעתם דורש אישור טלפוני ממנהל שלא המנהל שביקש. זה בסיסי, חינמי, ועוצר 90% מניסיונות BEC.
הגדרת SPF/DKIM/DMARC בדומיין שלכם: אלה פרוטוקולי אימות מייל שמונעים מגורמים חיצוניים לשלוח מיילים בשם הדומיין שלכם. מנהל ה-IT שלכם יכול להגדיר אותם. זה לא ימנע מתחזות לחשבון חיצוני, אבל ימנע שהדומיין שלכם ישמש לתקיפה.
הדרכת עובדים: פעם בשנה, הסבירו לצוות מהי BEC. הראו דוגמאות אמיתיות. הגדירו מה הנוהל כשמישהו מתעורר חשד. עובד שמכיר את ההונאה ייעצר לפני שיעביר.
ביטוח סייבר — מה מכסה ומה לא?
פוליסות ביטוח סייבר רבות כוללות כיסוי להונאת BEC, אך יש לקרוא את האותיות הקטנות. מה שרוב הפוליסות מכסות: הפסד כספי ישיר מהונאה אלקטרונית, עלויות חקירה, עלויות הודעה ללקוחות (אם נגרמה גם פריצת מידע), ועלויות שחזור מערכות.
מה שלרוב לא מכוסה: הפסד מהונאה שנגרמה בשל רשלנות בוטה של העסק (למשל — העברה ללא אימות כלשהו), הפסדים שנגרמו לאחר שחברת הביטוח הודיעה על אי-כיסוי, ו-⚠️ תנאי הכיסוי משתנים מאוד בין פוליסות — חובה לקרוא ולהתייעץ לפני אירוע, לא אחריו.
האם אפשר לקבל את הכסף בחזרה?
לפעמים כן — בתנאי שמגיבים מהר. כסף שעדיין נמצא בסליקה בין-בנקאית ניתן לעצירה. כסף שהגיע לחשבון בנק בישראל — ניתן לפנות לבית משפט לצו עיכוב. כסף שיצא לחו"ל — קשה יותר, אבל לא בלתי אפשרי דרך שיתוף פעולה בין-לאומי.
בנוסף, אפשר לתבוע אזרחית את הבנק אם הוא פעל ברשלנות — למשל, אישר העברה חריגה ללא בדיקות נאותות. ⚠️ עמדת הפסיקה הישראלית בנושא אחריות הבנק בהונאות העברה מורכבת ומשתנה בהתאם לנסיבות. מומלץ להתייעץ עם עורך דין לפני שמוותרים.
📌 זווית מקצועית — לעורכי דין
- טיפ פרקטי: בתביעה נגד בנק בגין BEC — תשובת השאלה הראשונה היא האם היה "אירוע חריג" שהיה צריך לעורר בדיקה. העברה גדולה לחשבון חדש, לאחר שינוי כתובת בנק, מחשבון ללא היסטוריה — כל אחד מהם עשוי לבסס טענת רשלנות.
- פסיקה רלבנטית: ⚠️ קיימת פסיקה ישראלית בנושא אחריות בנקים בהעברות אלקטרוניות — מומלץ לחקור מאגרי פסיקה עדכניים לפי הנסיבות הספציפיות.
- טעות נפוצה: פנייה לבנק בלבד — ולא לבית משפט לצו עיכוב מיידי. בשעות הראשונות, צו זמני יכול להקפיא כספים לפני שיעברו הלאה.
- נקודה טקטית: בדקו אם לעסק הייתה פוליסת סייבר — ואם היא מכסה BEC. פוליסות ישנות לא תמיד מכסות; חדשות — לרוב כן. זה יכול לשנות את כיוון הפעולה.