הגדרה משפטית של התחזוקה במייל עסקי והסוגים העיקריים של תוקפות

התחזוקה במייל עסקי (Business Email Compromise, BEC) היא עבירה סייבר בה תוקף משתמש בהודעות דואר אלקטרוני מזויפות או בחשבונות מדומים כדי לשדל או להונות עסק, מנהל, או עובד. בישראל, התחזוקה במייל עסקי מסודרת תחת חוקים שונים בהתאם לסוג ההונאה: (א) חוק העונשין, התשל"ז-1977, סעיף 421 — הונאה בדרך כללית (עד שלוש שנות כליאה); (ב) סעיף 383 — גניבה (עד שלוש שנים); (ג) סעיף 337 — הערמה מכוונת לנזק (עד שנה אחת); (ד) סעיף 194 — זיוף מסמכים (עד חמש שנים). סוגי התוקפות הנפוצים: (א) תוקפות פישינג — דואר מזויף המדמה חברה או בנק כדי לשדל סיסמאות וכתב אישור; (ב) תוקפות "הנמלא המזוקק" (whaling) — דואר המכוון למנהלים או מנהל כלכלי בחברה כדי להשיג אישור תשלום; (ג) זיוף חשבון דומה — יצירה של כתובת דואל המדומה כמעט לכתובת פנימית לגיטימית (לדוגמת ceo@comapny.com במקום ceo@company.com).

אחריות משפטית של המעסיק — חובות בטיחות ומנהל סייבר

על מעסיק המעסיק עובדים בתחום הכלכלה, הנהלת חשבונות, או ניהול הכספים חובה משפטית לנקוט בצעדים סביבים בכדי להגן על מידע כלכלי רגיש (סיסמאות, כתבי הזמנה, קודי גישה לחשבונות בנק). חובה זו נגזרת מ: (א) פקודת הנזיקין, סעיפים 35-36 — חובה כללית של זהירות; (ב) חוק הגנת הפרטיות, התשמ"ח-1981, סעיף 3 — חובה להגן על מידע אישי של עובדים וקונים; (ג) חוק ניירות ערך, התשמ"ח-1968 — דרישות למידע כלכלי מדויק (עבור חברות ציבוריות). מעסיק שלא אימץ הגנות בטיחות סביבות (כמו סימוי כוח דו-שלבי, הדרכות נוגעות לפישינג, ערוצי דאבל-חתימה לתשלומי כסף גדולים) עלול להיקלע לאחריות אזרחית בגין נזק שגרם לחברה בגלל הונאה שהייתה ניתנת למניעה.

סימנים ללהכיר תוקפויות של מייל עסקי ודרישות דיווח

עובדים צריכים להיות מודעים לסימנים אופייניים של תוקפויות בדואר אלקטרוני: (א) בקשה פתאומית ולא צפויה לתשלום כספי, בעיקר אם היא דחופה ("בדיוק היום"); (ב) דואר ממנהל גבוה בדרך כלל לא שולח ישירות — אם קיבלת בקשה כמה זה מנהל כללי, בדוק על ידי קריאה טלפונית; (ג) טעויות כתיב או שפה מוזרה בדואר מנהל (בדרך כלל מנהלים וגרוג דואר מאניגה כהלכה); (ד) כתובת דואל מעט שונה מהכתובת הרגילה (חסר אות, הוספת מספר, או תחום דומה); (ה) בקשה לשטוח בדרך "בלתי סדירה" (כמו תשלום לחשבון בנק פרטי במקום חשבון העסקי הרגיל). אם עובד חושד על תוקפה בדואר אלקטרוני, הוא חייב לדווח מיד למנהל או למחלקת טכנולוגיית מידע, ולא להשתמש בכל קישור או לחצני לוגין שהופיעו בדואר. דיווח זה בעל חשיבות משפטית עצומה — אם עובד נתקל בתוקפה והשתיק, בעסק יכול לטעון שהעובד היה רשלן בדרכיו.

צעדים זמינים בעת קבלת הונאה או התחזוקה בדואר

אם בעל עסק מגלה שנקלע להונאת דואר (לדוגמת, התשלום כסף לחשבון בנק שונה מהרגיל), הוא צריך לנקוט בצעדים מיידיים: (א) הודעה לבנק — בדרך כלל לבנק יש זמן קצר (עד 24 שעות) לעצור את התשלום אם הוא עדיין בתהליך ברהיטציה בין בנקים. הבנק יכול לבקש מבנק שלישי לעצור תשלום גם בחו"ל, אך בחלק מהמקרים זה לא אפשרי; (ב) הודעה למשטרה — דיווח לדרגה מקומית של משטרה או למחלקת הסייבר של המשטרה הלאומית יחל חקירה. כן, חקירה עלול להיות עוד איטי, אך דיווח תיעוד חשוב בעבור תביעה עתידית; (ג) בקשה לתביעה אזרחית — בעל עסק יכול לתבוע את הבנק או את הנמען של הכספים בנזיקין אם יכול להוכיח שהתשלום בוצע תחת זויית והנמען היה צריך לדעת שקיימת ירהה של הונאה.

כתב אישור דיגיטאלי וחתימות זכות ביטחון למייל עסקי

כדי להגן על חברה מפני בריונות זיוף דואר אלקטרוני, מעסיקים צריכים לשקול הטמעת מערכות אימות: (א) SPF (Sender Policy Framework) — מזהה איזה בנק סיר לשלוח דואר מ-domain מסוים, כך תוקף לא יכול להשתמש בכתובת דומה; (ב) DKIM (DomainKeys Identified Mail) — חתימה דיגיטלית על דואר המוכיחה שהדואל משלוח ממקור אמין; (ג) DMARC (Domain-based Message Authentication) — מדיניות שמגדירה מה לעשות עם דואל שמשלוח בדוק כלא מאומת. בישראל, חברות וגופים ציבוריים גדולים כבר מטמיעים מערכות אלה בטא בהגנה על עצמם. בנוסף, מעסיק צריך לדרוש מעובדים שזכויות אלה בחומר כלכלי גדול לבחון על ידי קריאה טלפונית טובה קל לפני ביצוע תשלום.

פגיעת אישור משפטי בעבודה בעידן סייבר

כאשר עובד מרשום בהונאת דואר אלקטרוני (דוגמת אישור תשלום כלא מורשה על בסיס דואל מזויף), המעסיק בדרך כלל יחקור כדי להבין אם העובד פעל בזהירות סביבה או בהזנחה משמעותית. אם עובד לא בדק את הכתובת בקפדנות, לא קרא לטלפון כדי לאשר, או תעביר כספים בלא קבלת אישור עלי-מנהל שתי שלבים, המעסיק עלול לתבוע את העובד בנזיקין או לפתוח חקירה משמעתית נגדו. עם זאת, בחוקה הישראלית, בעל עסק שלא יצא לעובדים הדרכה מתאימה על בטיחות סייבר, וכן בעל עסק שלא הטמיע מערכות בדיקה בכלים שנוספה, אפילו הוא חומש באחריות חלקית. בתי משפט ישראליים בדקו בעבור מעסיקים שדרשו מעובדים לשלם בחזרה הונאות, וקבעו כי אחריות משותפת קדומה כאשר בעל עסק לא תיאם תוכנית אחריות בטיחות מתאימה.

ביטוח וגרימה לנזק כלכלי — פוליסות בטיחות סייבר

חברות חכמות בדרך כלל קנות פוליסת ביטוח בטיחות סייבר (Cyber Insurance Policy) כדי להגן על עצמם מפני הונאות דואר אלקטרוני. פוליסה כזה יכולה לכסות: (א) הוצאות חקירה וחזרה לנורמלי; (ב) בדלויות כתוצאה מהשבתת מערכות (downtime); (ג) פיצויים או כופר לקרבנות במידה וחברה חוקה למעורבות בנזק לצדדים שלישיים. עם זאת, פוליסות אלה לעיתים קרובות כוללות שמורות (exemptions) — לדוגמת, ביטוח לא יכסה הונאות אם בעל עסק לא הטמיע תוכנית בטיחות סביבה בסיסית. מנקודת משפטית, החברה חייבת לבחור בחשק בעת קנייה פוליסת ביטוח — הצהרות שגויות למשכנתא או בתיאור המידע הטכנולוגי של החברה יכול לגרום לביטוח להסרב לשלום בעת תביעה.

הלך ממשפט וערעור על ידי חברות נקרבנות

אם חברה סבלה מהונאה בדואר אלקטרוני וקיבלה החלטה שלילית מחברת הביטוח שלה שסירבה לתשלם, החברה יכולה להגיש תביעה בפני בית משפט נגד חברת הביטוח. תביעה זו מתבססת על חוק הביטוח, התשמ"א-1981, שקובע שבית משפט בודק אם חברת ביטוח סירבה בצדק או בעדויות זומבת. כמו כן, חברה שנקרבנה בהונאה דואר אלקטרוני יכולה להגיש תביעה בפני בנקים שלא עיכבו תשלום שנראה לא סדיר (דוגמת תשלום לחשבון בחו"ל קטיגוריה חדשה). בתיקים מסוימים בדיון בעבור, בתי משפט הטילו אחריות משותפת על בנקים עם חברות שנקרבנות בהונאה, קביעתי כי בנקים צריכים הטמעה של מערכות בדיקה מחמירה יותר לתשלומים חריגים כדי להגן על כל אנשי הלקוחות.

📌 זווית מקצועית — לעורכי דין

הבהרה משפטית: המידע במאמר זה נועד לצרכי מידע כללי בלבד ואינו מהווה ייעוץ משפטי, חוות דעת או תחליף להתייעצות עם עורך דין. כל מקרה של התחזוקה במייל עסקי או הונאה דיגיטאלית דורש בחינה משפטית מיידית ייחודית, בשיתוף פעולה עם משטרה, יועצי סייבר מנוסים, וגם עורכי דין בעלי ניסיון בדיני הונאה וביטוח. אין ליישם את המידע ללא ייעוץ משפטי פרטני.