Whaling je specifický typ phishingového útoku, který se zaměřuje na vysoce postavené cíle – manažery, členy vedení, ředitele nebo jiné klíčové osoby ve firmě. Název „whaling“ (lov velryb) vychází z faktu, že tyto cíle představují „velkou rybu“ – tedy osoby s vysokými pravomocemi, přístupem k citlivým informacím či schopností autorizovat velké finanční převody.
Na rozdíl od běžných phishingových e-mailů, které jsou často hromadné a snadno rozpoznatelné, jsou whaling útoky promyšlené, personalizované a věrohodné. Útočníci se důkladně připraví – analyzují veřejné profily, sociální sítě, články a firemní struktury, aby vytvořili co nejpřesvědčivější zprávu.
Jak whaling útok vypadá v praxi?
Typický whaling e-mail se může tvářit jako:
Žádost o urgentní platbu od kolegy z vedení.
Oficiálně vypadající e-mail od právního oddělení, který vyžaduje přístup k důvěrným dokumentům.
Výzva k přihlášení do „firemního“ systému kvůli bezpečnostní kontrole.
Zpráva od „CEO“ nebo „CFO“, často v době, kdy je dotyčný mimo kancelář (např. na dovolené), s prosbou o diskrétní převod peněz.
Útočník se může snažit vyvolat pocit naléhavosti, důvěry nebo strachu. Například:
„Jsem na služební cestě bez připojení, ale potřebujeme rychle zaplatit dodavateli. Prosím, zařiď to co nejdřív.“
Příklady whaling útoků z praxe
2016: Snapchat – zaměstnanec byl podveden falešným e-mailem od „CEO“ a předal osobní údaje o zaměstnancích útočníkovi.
2015: Mattel – finanční manažer provedl podvodem vyžádaný převod 3 milionů dolarů na účet v Číně. Peníze se nakonec podařilo získat zpět jen díky rychlému zásahu a spolupráci s bankami.
2013: Belgická banka Crelan – obětí whalingu se stala i tato instituce, která kvůli falešným pokynům vedení přišla o 70 milionů dolarů.
Proč je whaling tak nebezpečný?
Cílí na osoby s největšími oprávněními.
Využívá perfektní znalosti firmy, její kultury a hierarchie.
Má vysokou pravděpodobnost úspěchu, protože oběti často věří důvěrnému stylu komunikace.
Škody bývají obrovské – jak finanční, tak reputační.
Jak se chránit před whalingem?
Bezpečnostní školení – i vedoucí pracovníci musí procházet školením o kybernetických hrozbách.
Víceúrovňové ověřování – každá změna platebních údajů nebo žádost o převod by měla být ověřena jiným kanálem (např. telefonicky).
Omezení přístupu – citlivé informace by měly být dostupné pouze oprávněným osobám.
Antiphishingové filtry a DLP řešení – moderní bezpečnostní software dokáže detekovat podezřelé vzory chování a e-mailů.
Simulované phishingové testy – pravidelné testování zaměstnanců a managementu pomáhá udržet ostražitost.
Závěr
Whaling představuje hrozbu, která ukazuje, že i nejvyšší patra firemní hierarchie nejsou imunní vůči sociálnímu inženýrství. Právě naopak – protože tito lidé často rozhodují o důležitých procesech a mají přístup k citlivým informacím, jsou lákavým cílem. Prevence spočívá nejen v technických opatřeních, ale především ve vzdělávání a budování kultury bezpečnosti napříč celou organizací.
