Whaling to wyspecjalizowana socjotechniczna metoda cyberoszustów realizowana w celu kradzieży informacji, danych lub pieniędzy firmy. Jej ofiarami są przeważnie osoby decyzyjne w organizacjach. Celem whalingu może być przykładowo skłonienie ofiary do wykonania płatności na konto oszusta (np. przekazując fałszywe wezwanie do zapłaty za usługi z adresu e-mail przypominającego adres usługodawcy), zainstalowanie złośliwego oprogramowania po wysłaniu fałszywego odnośnika (np. naśladującego zaproszenie do spotkania online), czy pozyskanie wrażliwych informacji.

Ataki tego typu nie są rozsyłane masowo do setek osób, za to adresowane do bardzo wąskiego grona menedżerów wysokiego szczebla (często wyłącznie do pojedynczych osób). Oszuści specjalizujący się w whalingu wykonują pracę wywiadowczą, dowiadując się, które osoby w przedsiębiorstwie mogą stać się ich ofiarą i „pomóc” im w osiągnięciu celu. Nierzadko zaglądają również do mediów społecznościowych w celu pozyskania informacji o prywatnym życiu przyszłych ofiar. Śledzą ich aktywność poza pracą, weryfikują stan cywilny, status społeczny, hobby i dodatkowe zajęcia, co może zwiększać wiarygodność i zaważyć na skuteczności ataku. Najczęściej legalnymi metodami oszustom udaje się także ustalić dane kontaktowe obranego celu – numer telefonu czy prywatny adres e-mail. Na podstawie uzyskanych danych tworzą spersonalizowane wiadomości dotyczące konkretnej osoby lub firmy.

Whaling może dziś przybierać różne formy, a metody wykorzystywane przez oszustów stają się coraz skuteczniejsze. Już kilka lat temu NCSC (brytyjskie Narodowe Centrum Bezpieczeństwa) potwierdzało wystąpienie incydentów, w których po początkowej sfabrykowanej wiadomości phishingowej e-mail następowało także połączenie telefoniczne nawiązujące do treści wiadomości i niejako „potwierdzające” jej autentyczność. Dziś tego rodzaju zagrożenia mogą być jeszcze poważniejsze. Dynamiczny rozwój technologii AI sprawia, że dostęp do botów naśladujących cudzy głos, a nawet mimikę twarzy mają nie tylko wyspecjalizowani oszuści, ale również osoby nietechniczne.

Phishing telefoniczny, zwany także vishingiem, to oddzielna metoda oszustwa, którą opisaliśmy w dedykowanym artykule.

Whaling to jeden z ataków hakerskich zaliczanych do szerszej grupy ataków phishingowych, a mówiąc dokładniej – spear-phishingowych. Tradycyjny phishing polega na wysyłaniu spreparowanych wiadomości do dużego grona osób (często przypadkowych) w celu wyłudzenia danych logowania, instalacji złośliwego oprogramowania (np. zaszytego pod wiarygodnie wyglądającym odnośnikiem) lub osiągnięcia innych korzyści. Oszuści wykorzystują do tego adresy e-mail i wizytówki pozorujące zaufanego nadawcę – na przykład biuro obsługi dostawcy energii lub bank. Spear phishing to z kolei atak ukierunkowany na konkretny cel – osobę lub organizację. Jest przeważnie poprzedzony zdobywaniem informacji o ofierze z ogólnodostępnych źródeł, dla podniesienia wiarygodności. Informacji takich mogą dostarczać na przykład portale społecznościowe. Whaling zawęża grupę potencjalnych ofiar tego ataku do osób zajmujących wyższe kierownicze stanowiska w danej firmie.

Ataki typu Business Email Compromise (BEC), zamiast obierać dyrektorów i kierowników jako swoje ofiary, podszywają się pod nich w celu osiągnięcia podobnych korzyści: pozyskania środków, informacji lub nakłonienia do zainstalowania złośliwego oprogramowania.

Tego rodzaju ataki, w których oszust podszywa się pod konkretną osobę, to tzw. impersonation attacks. Do tej grupy zaliczamy także:

• oszustwa typu C-level fraud (oszust podszywa się pod prezesa lub wysokiego rangą dyrektora i zwraca się zazwyczaj do jednego z pracowników firmy w celu wyprowadzenia środków finansowych lub przekazania ważnych informacji),


• oszustwa typu supply chain compromise (wysyłanie poleceń zapłaty za zamawiane towary z przejętego lub fałszywego konta dostawcy)