עסקה בקריפטו היא בלתי הפיכה: אין ביטול חיוב, אין בנק שמחזיר, ואין למי לפנות. רוב הגניבות לא שוברות את הבלוקצ'יין, הן נכנסות דרך המחשב, המייל והעובד. במאמר: למה אבטחת קריפטו שונה, האיומים המרכזיים, 6 צעדי הגנה מעשיים, ו-FAQ על ארנקים, שחזור ו-seed phrase.
⚡ TL;DR, תקציר מהיר
מה מייחד קריפטו: עסקה בלתי הפיכה, אין ביטול חיוב, אין סמכות מרכזית שתחזיר את הכסף.
האיומים: פישינג, גניבת seed phrase, נוזקות שמחליפות כתובת ארנק, SIM swap, וסיכון בורסה.
6 צעדי הגנה: ארנק קר, רב-חתימה (Multisig), MFA ללא SMS, מכשיר ייעודי, seed phrase אופליין, אימות כתובת + עסקת בדיקה.
הבריח המרכזי: רוב הגניבות קורות דרך הסביבה סביב הארנק, לא דרך הבלוקצ'יין, ולכן אבטחת קריפטו היא קודם כל היגיינת IT.
אבטחת קריפטו לעסקים: איך מגנים על נכסים דיגיטליים בישראל ב-2026
עסק ייעוץ קטן בתל אביב קיבל תשלום של 12,000 דולר בקריפטו מלקוח בחו"ל. מנהל הכספים העתיק את כתובת הארנק, הדביק אותה, ושלח. הכסף לא הגיע. נוזקה שישבה במחשב החליפה ברגע ההדבקה את כתובת היעד בכתובת של התוקף. אין בנק שמחזיר, אין ביטול חיוב, אין למי לפנות. הכסף פשוט נעלם. זה ההבדל המהותי של אבטחת קריפטו לעסקים: כאן אין רשת ביטחון.
יותר ויותר עסקים ישראלים נחשפים לקריפטו, בין אם הם מקבלים תשלומים ממדינות עם מערכת בנקאית מסורבלת, מחזיקים נכסים דיגיטליים כחלק מהפעילות, או עובדים מול ספקים ולקוחות בתחום ה-Web3. אבל רובם ניגשים לזה עם אותה תפיסת אבטחה שיש להם לחשבון הבנק, וזו בדיוק הטעות. לפי דוחות Chainalysis, מיליארדי דולרים בקריפטו נגנבים מדי שנה, והרוב המוחלט של הגניבות לא קורה דרך פריצה ל"בלוקצ'יין", אלא דרך המחשב, הטלפון, או העובד שמחזיק את המפתחות.
למה אבטחת קריפטו שונה מכל אבטחה אחרת
בעולם הבנקאי הרגיל יש לכם רשת ביטחון: אם מישהו מרוקן את החשבון, אתם מתקשרים לבנק, מקפיאים, ולרוב מקבלים את הכסף בחזרה. עסקה לא מאושרת ניתנת לביטול, יש רגולציה, ויש כתובת לפנות אליה.
בקריפטו, אתם הבנק של עצמכם. מי שמחזיק את המפתח הפרטי (private key) שולט בכסף, נקודה. אין מתווך שמאשר, אין גורם שמבטל, ואין דרך לשחזר עסקה שיצאה. שלושת המאפיינים האלה הופכים כל טעות לקריטית:
- עסקה בלתי הפיכה — ברגע שהכסף נשלח, הוא נשלח. כתובת שגויה או כתובת של תוקף, התוצאה זהה.
- אין סמכות מרכזית — אף אחד לא יכול "להקפיא" או "להחזיר" עבורכם.
- אנונימיות יחסית — קשה מאוד לאתר ולתבוע את הגנב, גם כשרואים לאן הכסף זרם.
המסקנה פשוטה: בקריפטו, מניעה היא הכל. אין "תיקון אחרי", יש רק "הגנה לפני".
האיומים המרכזיים על עסק שמחזיק קריפטו
התוקפים לא מנסים לשבור את ההצפנה של הבלוקצ'יין, זה בזבוז זמן. הם תוקפים את החוליה החלשה: אתם, המכשירים שלכם, והדרך שבה אתם מאחסנים את המפתחות.
- פישינג ממוקד — מייל או הודעה שמתחזים לבורסה, לספק ארנק, או ל"תמיכה טכנית", ומובילים לאתר מזויף שגונב את פרטי הכניסה או את ה-seed phrase.
- גניבת seed phrase — צמד המילים שמשחזר את הארנק הוא המפתח לכל הכסף. אם הוא שמור בצילום בטלפון, בקובץ בענן, או במייל, הוא חשוף לכל מי שפורץ למכשיר.
- נוזקות שמחליפות כתובת ארנק (clipboard hijackers) — בדיוק התרחיש מהפתיח. הנוזקה מזהה שהעתקתם כתובת קריפטו ומחליפה אותה בשקט בכתובת של התוקף.
- אפליקציות ותוספי דפדפן מזויפים — ארנק "רשמי" שהורד ממקור לא מאומת, או תוסף Chrome שמבקש הרשאות מוגזמות, יכולים לשאוב את המפתחות.
- SIM swap — תוקף משכפל את מספר הטלפון שלכם ועוקף אימות דו-שלבי שמבוסס על SMS. זו הסיבה שאימות ב-SMS לא מספיק לקריפטו.
- סיכון בורסה (custodial risk) — כל עוד הקריפטו יושב בבורסה, הוא בשליטת הבורסה, לא שלכם. הכלל בתעשייה: Not your keys, not your coins. קריסה או פריצה של הבורסה עלולות לקחת איתן את הכסף שלכם.
6 צעדים שכל עסק שמחזיק קריפטו חייב ליישם
1. החזיקו את עיקר הנכסים בארנק קר (Cold Wallet)
ארנק חומרה (hardware wallet) שמנותק מהאינטרנט הוא ההגנה הטובה ביותר על סכומים משמעותיים. המפתחות לעולם לא יוצאים מהמכשיר הפיזי. השאירו בארנק חם (hot wallet), כלומר ארנק מחובר לרשת, רק את הסכום התפעולי הקטן שאתם צריכים ליומיום.
2. השתמשו ברב-חתימה (Multisig) לסכומים גדולים
ארנק רב-חתימה דורש אישור של כמה מפתחות כדי לבצע עסקה, למשל 2 מתוך 3. כך אף מכשיר בודד ואף עובד בודד לא יכול להזיז את הכסף לבד. גם אם מחשב אחד נפרץ, או עובד אחד נופל לפישינג, הכסף לא זז. לעסק זו שכבת ההגנה החשובה ביותר.
3. הפעילו אימות דו-שלבי שאינו מבוסס SMS
על כל חשבון בבורסה ובכל שירות קריפטו, הפעילו אימות דו-שלבי באמצעות אפליקציית אימות (Authenticator) או מפתח חומרה פיזי (כמו YubiKey). הימנעו מאימות ב-SMS, שהוא הדרך שדרכה עוקפים תוקפים את ההגנה ב-SIM swap.
4. ייעדו מכשיר נקי לפעילות קריפטו
מחשב או טלפון שמשמש לקריפטו לא צריך לשמש גם לגלישה כללית, להורדות, ולמיילים אקראיים. מכשיר ייעודי ומוקשח מצמצם דרמטית את הסיכוי שנוזקה תגיע למפתחות.
5. אחסנו את ה-seed phrase אופליין בלבד
לעולם אל תצלמו את ה-seed phrase, אל תשמרו אותו בענן, במייל, או בקובץ טקסט. רשמו אותו על נייר (או לוחית מתכת) ושמרו במקום פיזי מאובטח, רצוי בכמה עותקים בכמה מיקומים. כל גרסה דיגיטלית שלו היא נקודת כשל.
6. אמתו כל כתובת לפני שליחה, ושלחו עסקת בדיקה
לפני העברה גדולה, בדקו את כתובת היעד תו-תו (לפחות את ההתחלה והסוף), ושלחו תחילה סכום קטן כעסקת בדיקה. אם הוא הגיע ליעד הנכון, שלחו את היתרה. הצעד הזה בודד מנטרל את רוב נוזקות החלפת הכתובת.
> הערה ישראלית: רשות המסים מתייחסת למטבעות קריפטו כנכס החייב במס רווחי הון. נהלו תיעוד מסודר של כל עסקה (תאריך, סכום, שער), זה חשוב גם לדיווח התקין וגם כדי שתוכלו לזהות מהר אם משהו חריג קרה.
הסביבה סביב הארנק — כאן רוב הגניבות באמת קורות
זה החלק שרוב העסקים מפספסים. הארנק עצמו, במיוחד ארנק חומרה, מאובטח היטב. אבל הוא חי בתוך סביבה: המחשב שממנו מאשרים עסקאות, המייל שאליו מגיעות התראות הבורסה, הטלפון שמריץ את אפליקציית האימות, והעובד שמקליד את הכתובות. רוב גניבות הקריפטו לא שוברות את ההצפנה, הן נכנסות דרך הסביבה הזו.
לכן אבטחת קריפטו לעסק היא קודם כל היגיינת IT טובה:
- EDR על כל תחנה שמשמשת לפעילות קריפטו, כדי לזהות נוזקות clipboard ו-keyloggers בזמן אמת.
- MFA והגנת אנטי-פישינג על המייל (Microsoft 365 / Google Workspace), כי המייל הוא שער הכניסה להשתלטות על חשבונות.
- הקשחת המכשיר שמחזיק את המפתחות: מינימום הרשאות, מינימום תוכנות, עדכונים שוטפים.
- הדרכת הצוות לזהות פישינג ובקשות תמיכה מזויפות, הגורם האנושי הוא עדיין החוליה הנפרצת ביותר.
במילים אחרות: אי אפשר להפריד בין אבטחת הקריפטו לאבטחת המחשוב של העסק. הן אותו דבר.
איך SouliTek מטפלת בזה
אנחנו לא יועצי השקעות קריפטו, ואנחנו לא נבחר עבורכם ארנק. מה שאנחנו כן עושים זה לאבטח את הסביבה שבה הקריפטו שלכם חי. בתוכנית ה-Managed Security של SouliTek, המכשירים שמשמשים לפעילות רגישה מקבלים EDR מנוהל, מדיניות MFA על כל חשבונות Microsoft 365, הגנת אנטי-פישינג על המייל, והקשחה של תחנות הקצה. אנחנו גם מדריכים את הצוות שלכם לזהות את בדיוק סוגי ההתקפות שמכוונות לנכסים דיגיטליים.
המטרה פשוטה: לסגור את הדלת שדרכה התוקפים מגיעים למפתחות, עוד לפני שהם מתקרבים אליהם.
רוצים לדעת אם הסביבה שמחזיקה את הנכסים הדיגיטליים שלכם מאובטחת? השאירו פרטים וניצור קשר
שאלות נפוצות
מה ההבדל בין ארנק חם לארנק קר, ומה מתאים לעסק?
ארנק חם (hot wallet) מחובר לאינטרנט ונוח לפעילות יומיומית, אבל חשוף יותר לתקיפה. ארנק קר (cold wallet), בדרך כלל ארנק חומרה פיזי, מנותק מהרשת ומאובטח בהרבה. הכלל לעסק: החזיקו את עיקר הנכסים בארנק קר, והשאירו בארנק חם רק את הסכום התפעולי הקטן שאתם באמת צריכים לטווח הקרוב.אם נגנב לי קריפטו, אפשר להחזיר אותו?
כמעט תמיד לא. עסקה בקריפטו היא בלתי הפיכה ואין סמכות מרכזית שיכולה לבטל אותה או להקפיא את הכסף. גם אם רואים בבלוקצ'יין לאן הכסף זרם, איתור ותביעה של הגנב הם תהליך ארוך, יקר, ולרוב חסר תוצאות. בקריפטו, מניעה היא ההגנה היחידה שבאמת עובדת.עסק קטן שמחזיק רק קצת קריפטו, באמת צריך ארנק חומרה?
כן. עלות ארנק חומרה היא עשרות עד מאות שקלים בודדים, בעוד שגניבה של הנכסים היא סופית ובלתי הפיכה. גם סכום "קטן" שווה הרבה יותר מהארנק שמגן עליו. ברגע שאתם מחזיקים נכס דיגיטלי כלשהו לאורך זמן, ארנק קר הוא ההשקעה הזולה ביותר שתעשו.מה הדרך הבטוחה לשמור seed phrase?
אופליין בלבד. רשמו את ה-seed phrase על נייר או על לוחית מתכת עמידה, ושמרו אותו במקום פיזי מאובטח, רצוי בכמה עותקים בכמה מיקומים נפרדים. לעולם אל תצלמו אותו, אל תשמרו בענן, במייל, בצ'אט, או בקובץ במחשב. כל עותק דיגיטלי של ה-seed phrase הוא נקודת כשל שתוקף יכול להגיע אליה.בקריפטו אין כפתור "בטל". מי שמבין את זה לפני שהוא שולח, שומר על הכסף. מי שמבין את זה אחרי, כבר איחר.
רוצים לדעת אם הסביבה שמחזיקה את הנכסים הדיגיטליים שלכם מאובטחת?
המומחים שלנו ב-SouliTEK ישמחו לבצע סקירה מקצועית ולהתאים עבורכם תוכנית פעולה.
יוצא עולם הסייבר ההתקפי עם למעלה מ-10 שנות ניסיון בשירותי IT לארגונים. מוביל את SouliTek במתן שירותי מחשוב מנוהלים ואבטחת מידע לעסקים קטנים ובינוניים בישראל.
LinkedIn