דלג לתוכן הראשי

כיצד להגן על עצמכם מפני התקפות דיוג

דיוג נותר הדרך המובילה לגניבת חשבונות. למדו כיצד פועל דיוג מודרני, על איזה סימני אזהרה לשים לב, ועל הגנות מעשיות שבאמת עוצרות התקפות.

2026-04-14

TL;DR

  • דיוג הוא הגורם המוביל להשתלטות על חשבונות — תוקפים מרמים אתכם לתת פרטי כניסה באתר מזויף.
  • ערכות דיוג מודרניות משכפלות עמודי כניסה בצורה מושלמת וממסרות את קודי ה-2FA שלכם בזמן אמת.
  • מפתחות אבטחת חומרה (YubiKey, FIDO2) הם ההגנה היחידה שחסינה מפני דיוג מעצם התכנון.
  • מנהלי סיסמאות מגינים עליכם על ידי סירוב למילוי אוטומטי בדומיין הלא נכון.
  • בדקו את הדומיין המדויק לפני הקלדת פרטי כניסה, ואל תתחברו אף פעם מקישור באימייל.

מה זה דיוג?

דיוג הוא התקפת הנדסה חברתית שבה תוקף יוצר עותק משכנע של אתר לגיטימי — לעתים קרובות מושלם פיקסל לפיקסל — ומרמה קורבן להזין פרטי כניסה שם. ברגע שהקורבן שולח את הטופס, התוקף לוכד את שם המשתמש, הסיסמה וכל גורם שני, ואז משתמש בהם להשתלט על החשבון האמיתי תוך שניות.

המילה מגיעה מהמטאפורה של "דיג" לקורבנות עם פיתיון (בדרך כלל אימייל). האיות השתנה כדי להדגיש שתוקפים לעתים קרובות משתמשים במספרי טלפון (דיוג SMS, או "smishing") ותשתית שנראית מקצועית.

למה דיוג עדיין האיום המוביל

רוב הפרצות החשבונות בקנה מידה גדול כיום לא כוללות פריצה, שבירת סיסמאות או עקיפת הצפנה. הן כוללות אדם שמקליד סיסמה באתר מזויף. דיוג הוא:

  • זול — תוקף יכול לשלוח מיליוני אימיילים במחיר של VPS ודומיין מזויף
  • קשה לסנן — ערכות מודרניות מחליפות דומיינים, משתמשות באירוח לגיטימי ומתאימות עצמן למסננים בזמן אמת
  • יעיל — אפילו משתמשים מודעי אבטחה נופלים לניסיונות ממוקדים מעוצבים היטב (דיוג חנית)
  • ניתן להרחבה — דיוג מוצלח יחיד לעתים קרובות מניב גישה לעשרות שירותים מחוברים דרך שימוש חוזר בסיסמאות

דוח חקירות הפרת נתונים של Verizon לשנת 2024 מצא שדיוג היה וקטור הגישה הראשוני ביותר מ-36% מכל הפרצות — יותר מכל גורם יחיד אחר.

איך פועל דיוג מודרני

דיוג התפתח הרבה מעבר לאימיילים של "הנסיך הניגרי" של שנות ה-2000. התקפת דיוג מודרנית כוללת בדרך כלל:

1. פיתיון משכנע

בדרך כלל אימייל, הודעת טקסט או צ'אט שיוצר דחיפות ("החשבון שלכם יושעה"), סמכות ("צוות האבטחה של Microsoft"), או סקרנות ("מישהו תייג אתכם בתמונה"). דיוג חנית לוקח את זה רחוק יותר עם פרטים אישיים שנלקחו מ-LinkedIn, מאגרי פרצות או התכתבות קודמת.

2. אתר מזויף מושלם פיקסל לפיקסל

תוקפים משתמשים בערכות דיוג מוכנות שמשכפלות את ה-HTML, CSS ו-JavaScript של האתר המטרה. ערכות רבות נמכרות כשירות (phishing-as-a-service), עם לוחות בקרה עובדים ותמיכת לקוחות.

3. פרוקסי בזמן אמת ל-2FA

החלק המסוכן: ערכות מודרניות לא רק לוכדות את הסיסמה שלכם. הן פועלות כפרוקסי איש-באמצע שמעביר הכל שאתם מקלידים — כולל קוד TOTP שלכם — לאתר האמיתי תוך שניות, עוקף רוב שיטות ה-2FA. הטכניקה הזו נקראת יריב-באמצע (AiTM) ונעשה בה שימוש בכלים כמו Evilginx2 ו-Modlishka.

4. גניבת אסימוני סשן

ברגע שאתם מאמתים דרך הפרוקסי, התוקף לוכד את עוגיית הסשן שלכם ויכול להשתמש בה כדי להישאר מחובר אפילו אחרי שאתם משנים את הסיסמה שלכם. זו הסיבה שתגובה לדיוג תמיד כוללת ביטול סשנים פעילים, לא רק רוטציה של סיסמה.

מה באמת עוצר דיוג

מפתחות אבטחת חומרה (FIDO2 / WebAuthn)

זו הקטגוריה היחידה של הגנה שחסינה מפני דיוג מעצם התכנון. כשאתם נכנסים עם מפתח FIDO2, המפתח שלכם מוודא קריפטוגרפית את הדומיין המדויק של האתר שמבקש אימות. אתר מזויף — לא משנה כמה מושלם חזותית — יש לו דומיין שונה, אז המפתח מסרב להגיב. הלחיצת יד הקריפטוגרפית פשוט לא מושלמת.

Google התחייבה למפתחות YubiKey לכל 85,000+ העובדים ב-2017 ודיווחה על אפס התקפות דיוג מוצלחות על חשבונות החברה בשנים שאחרי.

Passkeys

Passkeys הם האבולוציה הידידותית לצרכן של FIDO2. הם משתמשים באותה קריפטוגרפיה קשורת דומיין ומובנים ב-iOS, Android, macOS ו-Windows. אם אתר שבו אתם משתמשים תומך ב-passkeys, הפעלת אחד הופכת את החשבון הזה לחסין מפני דיוג.

מנהלי סיסמאות

מנהל סיסמאות הוא קו ההגנה השני שלכם כי הוא ממלא אוטומטית פרטי כניסה רק בדומיין המדויק שבו הם נשמרו. אם תגיעו ל-paypaI.com (I גדולה) במקום paypal.com, המנהל שלכם מסרב בשתיקה למלא את הטופס. הסירוב הזה הוא אזהרה חזקה שמשהו לא בסדר.

סינון אימייל ו-DNS

ספקי אימייל משתמשים ב-DMARC, SPF ו-DKIM כדי לזהות כתובות שולח מזויפות. רוב הספקים המודרניים תופסים את הניסיונות הברורים, אבל התקפות ממוקדות עדיין חומקות. הפעילו כפתורי "דווח על דיוג" בלקוח המייל שלכם כדי לעזור למסננים להשתפר.

סימני אזהרה לשים לב אליהם

כשאתם מקבלים הודעה שמבקשת מכם להיכנס, לאמת או לפעול בדחיפות:

  • דחיפות ואיומים — "החשבון שלכם ייסגר תוך 24 שעות"
  • ברכות כלליות — "לקוח יקר" במקום השם שלכם
  • דומיינים דומיםpaypaI.com, app1e.com, secure-microsoft-login.net
  • קבצים מצורפים לא צפויים — במיוחד קבצי .zip, .html, או .pdf שמבקשים מכם להיכנס כדי לראות אותם
  • שגיאות דקדוק או עיצוב — חברות גדולות מגיהות את האימיילים שלהן
  • חוסר התאמה בקישור — העבירו את העכבר מעל הקישור ובדקו אם היעד תואם לטקסט

אם משהו מרגיש לא בסדר, סגרו את האימייל. נווטו לאתר ידנית. אם יש בעיה אמיתית, תראו אותה כשתיכנסו דרך זרימת העבודה הרגילה שלכם.

מה לעשות אם נפלתם לדיוג

פעלו במהירות — מהירות חשובה כי תוקפים מתחילים להשתמש בפרטי כניסה תוך דקות.

  1. שנו את הסיסמה מיד במכשיר אחר (הטלפון שלכם, למשל, אם נפלתם לזה בלפטופ)
  2. בטלו את כל הסשנים הפעילים בהגדרות החשבון — זה מעיף כל מי שמשתמש כעת באסימוני סשן גנובים
  3. הפעילו 2FA אם זה עדיין לא היה מופעל, והשתמשו במפתח חומרה או passkey אם אפשר
  4. בדקו פעילות לא מורשית — אימיילים שנשלחו, כניסות אחרונות, שינויי חיוב, כללי העברה חדשים
  5. הודיעו למוסד הפגוע אם זה חשבון פיננסי או עבודה
  6. בדקו חשבונות אחרים שהשתמשו באותה סיסמה — אפילו אם אתם בטוחים שאתם לא משתמשים חוזרים בסיסמאות, בדקו

השורה התחתונה

דיוג משגשג כי הוא עוקף טכנולוגיה ומתמקד באנשים. ההגנות הטובות ביותר מערבבות שלוש שכבות: מנהלי סיסמאות (מסרבים למילוי אוטומטי בדומיינים שגויים), 2FA חסין דיוג (מפתחות חומרה או passkeys שנקשרים לדומיין האמיתי), וספקנות בריאה (אף פעם לא נכנסים מקישור באימייל).

הפעילו את כל השלושה בחשבון הכי חשוב שלכם — האימייל שלכם — קודם. משם, שאר החיים הדיגיטליים שלכם נהיים בטוחים משמעותית יותר.

כיצד להגן על עצמכם מפני דיוג

רשימת בדיקה מעשית ומסודרת לחיזוק החשבונות שלכם נגד התקפות דיוג.

  1. השתמשו במנהל סיסמאות:התקינו מנהל סיסמאות מוכר (1Password, Bitwarden, Proton Pass) ותנו לו למלא פרטי כניסה אוטומטית. הוא יסרב למלא אוטומטית בדומיינים דומים, מה שיתן לכם גלאי דיוג מובנה.
  2. הפעילו 2FA חסין דיוג:הוסיפו מפתח חומרה FIDO2 (YubiKey, Google Titan) או passkey לחשבונות החשובים ביותר שלכם — אימייל קודם כל, אחר כך בנקאות, אחסון בענן ומנהל סיסמאות. אלה השיטות היחידות של 2FA שבאמת עוצרות דיוג מודרני.
  3. אל תתחברו אף פעם מקישורים באימייל:כשאתם מקבלים אימייל שמבקש מכם להיכנס, סגרו את האימייל ונווטו לאתר ידנית דרך סימנייה או על ידי הקלדת ה-URL. הקישור באימייל עלול להיות שיבוט מושלם; הסימנייה בדפדפן שלכם לא.
  4. בדקו את הדומיין המדויק לפני הקלדה:לפני הזנת כל סיסמה, הסתכלו על ה-URL המלא בשורת הכתובת. חפשו https, האיות הנכון, ואין תת-דומיינים נוספים כמו paypal.com.secure-login.net.
  5. דווחו והמשיכו הלאה:דווחו על ניסיון הדיוג לספק האימייל שלכם (לרובם יש כפתור "דווח על דיוג"). אחר כך המשיכו עם היום שלכם — דיוג מסוכן רק אם נופלים לו, ומודעות היא רוב הקרב.

Frequently Asked Questions

Related Articles

What Is 2fa

Privacy Checklist

Encrypted Email