חופשת הפסח כבר כאן, ובנתב"ג מתכוננים לכ-1.8 מיליון נוסעים במהלך חודש אפריל, ועוד המונים צפויים לנפוש בישראל, כשהפעם, בניגוד לפסח הקודם, גם הצפון הוא אופציה.

אבל רגע לפני שאתם לוחצים "הזמן עכשיו", כדאי שתדעו: יכול להיות שמישהו כבר סימן אתכם כמטרה. דוחות רבים חשפו לאחרונה את אחת התופעות המדאיגות של השנים האחרונות – מתקפות סייבר מתוחכמות שמתחזות לאתרי נופש מוכרים כמו Booking.com ו-Airbnb, ושואבות מהמשתמשים מידע, כספים ולעיתים גם זהות דיגיטלית שלמה.

כשהחלום הופך למלכודת

על פי דו"ח שפרסם בחודש מרץ 2025 צוות Microsoft Threat Intelligence בשיתוף מומחי האבטחה של החברה, מאות משתמשים קיבלו לאחרונה הודעות מייל מזויפות, שנראות כאילו הן הגיעו מ-Booking.com – כולל לוגו, שפה רשמית ואפילו כתובת דוא"ל שנראית תקינה. בהודעה נטען שיש בעיה בהזמנה, צורך באימות או תלונה של לקוח. 

המשתמש מתבקש להיכנס לדף שנראה רשמי, ושם הוא מתבקש לפתוח חלון הפעלה במחשב ולהדביק פקודה שהדף שם לו אוטומטית – מבלי להבין שזו פקודת תקיפה.

"זו טכניקה שנקראת ClickFix – שגורמת למשתמש בעצמו להפעיל את הקוד הזדוני", מסביר איציק צלף, מנהל האבטחה הלאומית במיקרוסופט ישראל. "ככה התוקפים מצליחים לעקוף גם מערכות אבטחה מתקדמות".

זה ממש לא המקרה היחידי. לפי דיווחים, גולשים הזמינו דירות נופש שנראו אמינות לחלוטין – תמונות מושקעות, מחירים מצוינים, ותגובות חיוביות – רק כדי לגלות שאין נכס, אין מארח, ואין למי לפנות. "הרמאים משתמשים בבינה מלאכותית כדי ליצור מודעות שמבלבלות גם עיניים מיומנות", אומר צלף. "זו רמת זיוף חדשה לגמרי – והנזק הוא עצום".

הנה הסימנים והאזהרות שכל אחד חייב להכיר לפני שהוא מזמין חופשה

  1. כתובת אתר שנראית קצת שונה – היא כנראה לא אמיתית
    לא כל כתובת שמכילה את השם "booking" או "airbnb" היא לגיטימית. לעיתים מדובר באתר שנראה דומה, אבל הדומיין שונה ממש במקצת וזה עשוי להפיל אנשים רבים בפח.
    "מדובר בשיטת 'טייפו-סקוואטינג', שמסתמכת על כך שהעין תדלג על שגיאות קטנות", אומר צלף. תמיד בדקו שהכתובת מתחילה ב-`https://` ושהתחום הרשמי הוא `.com` או התחום הידוע של הפלטפורמה".
  2. לחץ לפעול מיד – טריק נפוץ של פישינג
    קיבלתם מייל שכתוב בו: "אם לא תאשר תוך שעה – ההזמנה תבוטל"? זה בדיוק מה שפושעי הסייבר רוצים: שתפעלו מתוך לחץ.
    "יצירת תחושת דחיפות היא הדרך של ההאקרים לגרום לכם לפעול מבלי לחשוב", מסביר צלף. לכן, אם מייל נשמע לחוץ מדי או דרמטי מדי – עצרו וחשבו רגע לפני הלחיצה.
  3. בקשה לתשלום מחוץ לאתר – סימן בטוח להונאה
    אם מארח מבקש מכם לשלם לו בוואטסאפ, ביט או דרך לינק צד שלישי – תברחו. "כל פלטפורמה אמינה דורשת שהעסקאות יבוצעו דרכה", מדגיש צלף. תשלום מחוץ למערכת הוא לא רק מסוכן – הוא גם יבטל כל אפשרות לקבל פיצוי או תמיכה אם יתברר שהנכס לא אמיתי.
  4. תמונות מושלמות מדי, ביקורות חשודות
    אם הדירה נראית כאילו יצאה ממגזין, אבל אין הרבה ביקורות – או שהן קצרות וגנריות ("המארח היה מעולה!"), יש סיכוי טוב שמדובר במודעה מזויפת. "AI יודע לייצר לא רק תמונות – אלא גם תגובות מזויפות שנראות אמינות", מזהיר צלף. הדרך לבדוק? חפשו ביקורות מפורטות, שמות משתמשים עם היסטוריה והשוואת תמונות בגוגל.
  5. מארח ש"מעדיף" לתקשר בפרטי
    אחד הטריקים הנפוצים הוא העברה של השיחה לאימייל, וואטסאפ או טלגרם – כדי לעקוף את מנגנוני ההגנה של הפלטפורמה. "אם מישהו מנסה להוציא אתכם מהצ'אט הרשמי של האתר – זה נורת אזהרה מיידית", קובע צלף. כל תקשורת צריכה להתבצע בתוך המערכת של האתר, אחרת אין לכם איך להוכיח את מה שנאמר או סוכם".
  6. יותר מדי טוב כדי להיות אמיתי
    אם דירה בלב פריז מוצעת ב-60 יורו ללילה, בזמן שהמחירים בשוק כפולים – זה לא מזל, זו מלכודת. "פושעים יודעים מה יגרום לנו לעצום עין – והצעת מחיר מפתה במיוחד היא כלי מרכזי בארסנל שלהם", אומר צלף.

הטיפים שיגנו עליכם בחופשה – ובכלל

  • תמיד היכנסו לאתרים מדפדפן האינטרנט – לא מקישורים במייל.
  • הפעילו אימות דו-שלבי בכל שירות אפשרי.
  • העדיפו תשלום בכרטיס אשראי – יש בו הגנה מובנית.
  • אל תתפתו להצעות שנראות טוב מדי. בדקו, שאלו, והשוו.
  • והכי חשוב: אם משהו מרגיש חשוד – כנראה שהוא באמת חשוד.
איציק צלף, מנהל האבטחה הלאומית במיקרוסופט ישראל (צילום: ענבל מרמרי)
איציק צלף, מנהל האבטחה הלאומית במיקרוסופט ישראל | צילום: ענבל מרמרי

"הונאות היום לא נראות כמו פעם – הן חכמות, מתוחכמות וקשה לזהות אותן גם בעין מנוסה. ברגע אחד של חוסר תשומת לב, אפשר לאבד גישה לחשבון, לחשוף פרטי אשראי או ליפול להונאה מתוחכמת", מסכם צלף. "אם משהו נראה טוב מדי, מלחיץ מדי או פשוט לא מרגיש לכם נכון – תעצרו. לפעמים ספק בריא ושתי דקות של בדיקה שוות הרבה יותר מכל אנטי-וירוס".