הונאות וספאם

הונאת פנגו החדשה ב-SMS: איך גונבים חשבון תשלומים בהודעה אחת

הודעת SMS מזויפת גונבת חשבון Pango בשניות - 5 סימנים לזיהוי וצעדים מיידיים אם נפלתם בפח

מאת Traceback Editorial Team
8 דקות קריאה
מדריך להגנה מפני הונאת SMS חדשה בהודעות תשלומים - איך מזהים וחוסמים בדיקות זויפות של Pango

איך עובדת ההונאה בפועל (שלב אחר שלב)

ההונאה הזו משלבת שתי טכניקות ידועות: SMS (הודעת טקסט) ו-Phishing (דיוג מידע). התוצאה נקראת Smishing - והיא עובדת ככה:

שלב 1: המסרון המזויף
אתם מקבלים הודעה שנראית כאילו היא מ-Pango: "חשבון Pango שלך נחסם עקב פעילות חשודה. אשר זהות עכשיו: [קישור]". הלוגו מושלם, הטון דחוף, והשם של השולח מופיע כ"Pango" או כמספר ישראלי רגיל. רוב האנשים לא בודקים את פרטי הקישור—הם רואים את הלוגו ואת המילה "נחסם" ונכנסים לפאניקה.

שלב 2: הקישור המוסווה
אתם לוחצים על הקישור. הוא מוביל לדף שמחקה בדיוק את מסך ההתחברות של Pango—אותם צבעים, אותו לוגו, אותה פריסה. הדף נמצא בכתובת מזויפת כמו pango-verify.site או pango-app.info, אבל בגלל שאתם בטלפון ולחוצים, אתם לא בודקים את שורת הכתובת.

שלב 3: גניבת הסיסמה
אתם מזינים את המייל והסיסמה שלכם. באותו רגע, הנתונים עוברים לתוקפים—לא ל-Pango. הדף עשוי להציג הודעה כמו "מאמתים זהות..." כדי לקנות זמן, אבל מאחורי הקלעים התוקפים כבר נכנסים לחשבון האמיתי שלכם.

שלב 4: הפעולה המהירה
תוך 5–10 דקות התוקפים מוסיפים כרטיס אשראי חדש (שלהם) לחשבון, מבצעים עסקאות, או מעבירים יתרה. בחלק מהמקרים הם גם משנים את הסיסמה כדי לנעול אתכם בחוץ. עד שאתם מבינים מה קרה—החשבון כבר לא שלכם.

למה זה עובד כל כך טוב? כי Pango היא שירות שכולם משתמשים בו פעמים רבות בשבוע. הודעה ממנה לא מעוררת חשד כמו הודעה מבנק או מאתר מסחר שאתם פחות מכירים.


5 סימנים לזיהוי SMS מזויף מ-Pango

1. הטון הדחוף והמאיים
הודעות מזויפות תמיד מנסות ללחוץ עליכם: "חשבון נחסם", "פעולה בעוד 24 שעות", "אימות מיידי". Pango האמיתית לא תשלח התראות כאלה ב-SMS. אם יש בעיה אמיתית—תראו התראה באפליקציה עצמה, או תקבלו מייל פורמלי מ-support@pango.co.il.

2. שגיאות קטנות בכתיב
התוקפים לרוב מעתיקים טקסטים מהודעות אמיתיות, אבל משאירים טעויות זעירות: רווחים כפולים, פיסוק לא תקין, שימוש במילים לא פורמליות. אם משהו מרגיש "לא חלק"—זה כנראה לא אמיתי.

3. כתובת הקישור אינה pango.co.il
זה הסימן הכי ברור. כל דומיין שאיננו pango.co.il הוא חשוד. דוגמאות נפוצות: pango-verify.site, pango-secure.info, pango-app.com. התוקפים קונים דומיינים זולים שנראים דומים, אבל הם לא של Pango. כדי לבדוק: החזיקו אצבע על הקישור (אל תלחצו)—יופיע pop-up עם הכתובת המלאה.

4. בקשה להזין סיסמה מקישור ב-SMS
Pango לעולם לא תבקש ממכם להזין סיסמה דרך קישור במסרון. זה לא פרוטוקול אבטחה תקני. אם אתם צריכים להתחבר—היכנסו לאפליקציה ישירות או לאתר דרך הדפדפן.

5. מספר שולח לא מוכר
Pango אמיתית שולחת הודעות מ-Pango (שם טקסטואלי) או ממספר קצר רשמי כמו 4545. אם אתם מקבלים הודעה ממספר רגיל בן 10 ספרות (050-1234567 למשל)—זה לא Pango.

טיפ נוסף:
אם קיבלתם הודעה חשודה—אל תמחקו אותה. העבירו אותה ל-forward@cert.gov.il (המרכז הלאומי לסייבר). הם אוספים דיווחים ומנטרלים קישורים מסוכנים.


טבלת השוואה ויזואלית—SMS אמיתי מול מזויף

קריטריון SMS אמיתי מ-Pango SMS מזויף (הונאה)
שולח Pango / 4545 מספר רגיל (050-1234567)
נושא עדכון על תשלום שבוצע / תזכורת חניה "חסימת חשבון", "פעילות חשודה", "אימות דחוף"
קישור pango.co.il בלבד pango-verify.site, pango-app.info, וריאציות דומות
פעולה נדרשת "ראה פרטים באפליקציה", "תודה שהשתמשת ב-Pango" "אשר זהות עכשיו", "הזן סיסמה", "לחץ כאן תוך 24 שעות"
שפה עברית תקנית, ללא טעויות שגיאות כתיב, רווחים מיותרים, ניסוח לא פורמלי
לוגו לא תמיד מופיע ב-SMS (תלוי בטלפון) לוגו מושלם—הועתק מהאתר האמיתי
פרטים נוספים קישור להיסטוריית חניות או לחשבונית קישור לדף התחברות עם שדות סיסמה

מה עושים אם לא בטוחים?
אל תסתמכו על ה-SMS. פתחו את אפליקציית Pango ישירות. אם יש התראה אמיתית—תראו אותה שם. אם האפליקציה שקטה—ה-SMS מזויף.


מה לעשות מיד אם כבר לחצתם על הקישור

אם הזנתם את הסיסמה בדף המזויף—יש לכם חלון זמן של 5–15 דקות לפעול לפני שהתוקפים מספיקים לעשות נזק משמעותי. הנה מה לעשות בדיוק:

1. אל תיכנסו לפאניקה
לחץ גורם לטעויות. קחו נשימה ועברו על השלבים הבאים אחד אחד. רוב המקרים מסתיימים בלי נזק אם פועלים מהר.

2. החליפו סיסמה מיד
פתחו את אפליקציית Pango האמיתית (או היכנסו ל-pango.co.il בדפדפן). היכנסו לחשבון ושנו את הסיסמה לסיסמה חדשה לגמרי—לא וריאציה של הישנה. אם אתם משתמשים באותה סיסמה גם בשירותים אחרים (בנק, מייל, רשתות חברתיות)—שנו גם שם.

3. הסירו אמצעי תשלום
היכנסו להגדרות החשבון באפליקציה ומחקו את כל כרטיסי האשראי השמורים. אפשר להוסיף אותם מחדש אחר כך—אבל עכשיו אתם חותכים את הגישה של התוקפים לכסף שלכם.

4. בדקו תנועות אחרונות
עברו על עסקאות ה-24 שעות האחרונות ב-Pango. אם יש חיובים שלא ביצעתם—תעדו אותם (צילום מסך) ופנו לתמיכה של Pango: support@pango.co.il.

5. הפעילו אימות דו-שלבי (אם זמין)
בדקו אם Pango מציעה 2FA. אם כן—הפעילו. זה מוסיף שכבת הגנה: גם אם מישהו יודע את הסיסמה, הוא לא יכול להיכנס בלי קוד שנשלח לטלפון שלכם.

6. שמרו צילום מסך של ה-SMS
תעדו את ההודעה המזויפת והקישור. זה יכול לשמש ראיה אם תצטרכו להגיש תלונה משטרתית או לדבר עם חברת האשראי.

7. דווחו לפנגו ולרשויות
שלחו את פרטי ההונאה ל-support@pango.co.il. העבירו את ההודעה גם ל-forward@cert.gov.il. אם יש נזק כספי משמעותי—הגישו תלונה משטרתית ביחידת הסייבר: 110.

אם התוקפים כבר שינו את הסיסמה:
השתמשו באפשרות "שכחתי סיסמה" באפליקציה. תקבלו קישור איפוס למייל הרשום. אם גם המייל נחטף—פנו מיד לתמיכה הטכנית של Pango בטלפון.


איך מגנים על חשבון Pango מהיום

אחרי שעברתם את השלבים למעלה (או אם רק רוצים למנוע הונאה מלכתחילה), הנה איך להגן על החשבון שלכם לטווח ארוך:

לעולם לא ללחוץ על קישורים ב-SMS
זה הכלל הכי חשוב. כל פעם שאתם מקבלים הודעה עם קישור—גם אם היא נראית לגיטימית—פתחו את האפליקציה או האתר ישירות. אל תעברו דרך הקישור. זה חוסך כסף ועצבים.

בדקו את הדומיין לפני הזנת סיסמה
אם בכל זאת פתחתם קישור, תסתכלו על שורת הכתובת בדפדפן. האם כתוב שם pango.co.il בדיוק? אם יש אפילו אות אחת שונה—תסגרו את הדף מיד. כל וריאציה (pango-app.com, pango.site, pang0.co.il) היא הונאה.

השתמשו בסיסמה ייחודית
אל תעשו שימוש חוזר בסיסמה מחשבונות אחרים. אם התוקפים גונבים את הסיסמה של Pango והיא זהה לזו של הבנק שלכם—אתם בבעיה גדולה. שימוש במנהל סיסמאות (כמו 1Password או Bitwarden) עוזר ליצור ולשמור סיסמאות חזקות וייחודיות.

עקבו אחרי פעילות החשבון
היכנסו לאפליקציה פעמיים בשבוע ובדקו את העסקאות האחרונות. אם יש חיוב שלא זוכרים—בררו אותו מיד. ככל שתגלו הונאה מוקדם יותר, כך יהיה יותר קל לבטל את הנזק.

דווחו על SMS חשוד
אם קיבלתם הודעה חשודה—העבירו אותה ל-forward@cert.gov.il ול-Pango. זה לא רק מגן עליכם—זה עוזר למנוע מאנשים אחרים ליפול בפח.

עדכנו את האפליקציה
ודאו שיש לכם את הגרסה האחרונה של אפליקציית Pango. עדכונים כוללים תיקוני אבטחה שסוגרים פרצות שתוקפים מנסים לנצל.

טיפ מתקדם:
אם אתם משתמשים ב-iPhone, הפעילו את "Hide My Email" של Apple. זה מאפשר לכם ליצור כתובות מייל זמניות לכל שירות—כך גם אם יש דליפת נתונים, המייל האמיתי שלכם לא ייחשף.


שאלות נפוצות—הונאת Pango SMS

האם Pango יכולה למנוע הודעות מזויפות בשמה?
לא לגמרי. התוקפים משתמשים בשירותי SMS חיצוניים שמאפשרים זיוף שם השולח—זה נקרא "SMS Spoofing". Pango יכולה לדווח לרגולטור התקשורת ולספקי SMS על כתובות מזויפות, אבל אין פתרון טכני שחוסם את זה לחלוטין. האחריות היא שלכם—לא ללחוץ על קישורים ב-SMS.

אם שיניתי סיסמה מיד, האם החשבון מוגן?
כן—אם שיניתם תוך 10–15 דקות מהזנת הסיסמה בדף המזויף, סביר מאוד שהתוקפים לא הספיקו לבצע פעולות. בכל זאת, בדקו את תנועות החשבון ב-24 השעות הבאות כדי להיות בטוחים.

איך אני יודע אם Pango האמיתית שלחה לי הודעה?
פשוט: פתחו את האפליקציה של Pango. אם יש התראה שם (למשל, על חיוב שנכשל או חניה שנגמרת)—ה-SMS אמיתי. אם האפליקציה שקטה—ה-SMS מזויף. זו הבדיקה הכי מהירה.

האם התוקפים יכולים לגשת גם לחשבון הבנק שלי?
לא ישירות דרך Pango. הם רואים רק כרטיסים שכבר שמורים בחשבון שלכם ויכולים לבצע עסקאות דרך Pango. אבל—אם השתמשתם באותה סיסמה גם בבנק או בשירותים אחרים, הם יכולים לנסות להיכנס לשם. לכן חשוב לשנות סיסמה בכל מקום שבו השתמשתם באותה סיסמה.

מה עושים עם חיוב לא מורשה?
תחילה, פנו ל-Pango: support@pango.co.il. תעדו את העסקה החשודה (צילום מסך מהאפליקציה) והסבירו שמדובר בהונאה. אם Pango לא מחזירה את הכסף תוך מספר ימים, פנו לחברת האשראי (ויזה, מסטרקארד וכו') ובקשו ביטול עסקה—Chargeback. זה תהליך סטנדרטי במקרי הונאה. אם הסכום משמעותי—הגישו גם תלונה משטרתית ביחידת הסייבר: 110.

האם צריך להחליף כרטיס אשראי?
לא בהכרח. אם שיניתם סיסמה מהר והסרתם את הכרטיס מחשבון Pango, הסיכון נמוך. התוקפים לא רואים את מספר הכרטיס המלא—רק את 4 הספרות האחרונות. אבל אם יש חיובים חשודים שלא מ-Pango (באתרים אחרים)—זה סימן שהכרטיס הודלף, ואז כדאי להחליף.

איך אפשר לדעת שהקישור מזויף בלי ללחוץ?
החזיקו אצבע על הקישור ב-SMS (לא ללחוץ—רק להחזיק). אחרי שנייה יופיע pop-up עם כתובת ה-URL המלאה. בדקו אם זה pango.co.il. כל דבר אחר—מזויף. אם אתם במחשב, העבירו עכבר מעל הקישור (אל תלחצו) ותראו את הכתובת בפינה השמאלית התחתונה של הדפדפן.

מה הסיכוי שזה יקרה לי?
קשה לדעת מספרים מדויקים, אבל בחודשים האחרונים דווח על מאות מקרים בישראל. ההונאה הזו מתפשטת במהירות כי Pango היא שירות פופולרי—כמעט כל נהג בישראל משתמש בה. התוקפים יודעים את זה ומנצלים את האמון.


סיכום: אל תתנו לפאניקה לקבל החלטות

הונאת SMS מ-Pango עובדת כי היא משלבת לחץ פסיכולוגי (הודעה על "חשבון נחסם") עם זיוף ויזואלי מושלם. התוקפים מהמרים על כך שתראו את הלוגו של Pango, תיכנסו לפאניקה, ותלחצו על הקישור בלי לחשוב.

העקרון הכי חשוב: אף שירות לגיטימי לא יבקש ממכם להזין סיסמה דרך קישור ב-SMS. לא Pango, לא הבנק, לא אף אחד. אם יש ספק—אל תלחצו. פתחו את האפליקציה ישירות.

ואם אתם נתקלים בהתנהגות חשודה בתקשורת דיגיטלית—לא רק ב-SMS—Traceback עוזרת לכם לזהות מי באמת עומד מאחורי מספרים חסויים. באפליקציה שלנו אתם יכולים לחשוף מספרים חסויים בישראל תוך 1.3 שניות, עם דוחות שמתקבלים בבית המשפט.

Traceback עובדת עם Partner, Cellcom, Pelephone, Hot Mobile, Golan, Rami Levy, 019 ו-012.

📱 תמחור: מנוי שבועי בן 14.90 ש"ח / מנוי חודשי בן 29.90 ש"ח / מנוי שנתי בן 249.90 ש"ח (חיסכון של 30% בהשוואה לחודשי). כל המנויים כוללים זיהויים ללא הגבלה—אין תשלום נוסף לכל חשיפה. ביטול בכל עת, ללא התחייבות.

ניסיון חינם 3 ימים ותחילת ההגנה →


⚠️ הערה: מאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ משפטי. לכל מצב משפטי ספציפי מומלץ להתייעץ עם עורך דין מוסמך. Traceback אינה אחראית לתוצאות משפטיות.

מאמרים קשורים
הורד את האפליקציה

שקט נפשי מכל מספר חסוי, במרחק לחיצה אחת.

הצטרף ל‑34,000+ אנשים שכבר יודעים מי מתקשר אליהם. 30,000+ מספרים חסויים נחשפו בישראל, והמספר רק עולה.