Whaling to jedna z najbardziej podstępnych odmian phishingu, bo zamiast rozsyłać masowe, przypadkowe wiadomości, atakujący celuje w konkretną osobę z dostępem do pieniędzy, danych albo decyzji. W praktyce chodzi zwykle o zarząd, finanse, HR lub kogoś, kto może szybko uruchomić przelew, przekazać poufny plik albo ominąć standardową ścieżkę weryfikacji. Poniżej rozbieram ten temat na części: czym jest ten atak, czym różni się od podobnych oszustw, jak wygląda w praktyce i co realnie zmniejsza ryzyko.
Najkrócej: to phishing wymierzony w „duże ryby” i w ich procesy decyzyjne
- Whaling to celowany atak socjotechniczny, najczęściej przez e-mail, na osoby z wysokimi uprawnieniami.
- Najczęstszy cel to pieniądze, poufne dane albo szybka akceptacja ryzykownej prośby.
- To nie jest zwykły spam, tylko wiadomość zbudowana po wcześniejszym rozpoznaniu celu.
- Whaling często nakłada się na spear phishing i business email compromise, ale nie jest z nimi identyczny.
- Najlepsza obrona to połączenie techniki, procedur i krótkiej, konsekwentnej weryfikacji poza e-mailem.
Czym jest whaling i dlaczego nie warto wrzucać go do jednego worka ze spamem
Najprościej: whaling to precyzyjny phishing skierowany do osób o wysokiej wartości dla organizacji. Zamiast liczyć na przypadek, atakujący wcześniej zbiera informacje o firmie, jej strukturze, projektach, relacjach i sposobie komunikacji. Potem składa wiadomość tak, żeby wyglądała na pilną, prawdziwą i „w sam raz” dla konkretnej osoby.
Ja traktuję to jako atak na dwa poziomy naraz. Pierwszy to skrzynka mailowa, ale drugi, ważniejszy, to ludzki nawyk szybkiego podejmowania decyzji, szczególnie wtedy, gdy wiadomość rzekomo pochodzi od prezesa, dyrektora finansowego albo zaufanego partnera. Dlatego whaling nie musi wyglądać jak klasyczna próba kradzieży hasła. Czasem jest po prostu dobrze napisaną prośbą o przelew, dokument albo zmianę danych do płatności.
W praktyce atakujący korzysta z publicznych informacji: strony firmowej, LinkedIna, komunikatów prasowych, podpisów mailowych, a czasem wycieków danych. Im lepiej ktoś rozumie organizację, tym łatwiej mu stworzyć wiadomość, która brzmi jak zwykły element codziennej pracy. I właśnie to odróżnia whaling od słabego, przypadkowego phishingu.
Ten poziom wiarygodności prowadzi prosto do kolejnego pytania: czym ten atak różni się od innych podobnych technik i gdzie kończy się terminologia, a zaczyna praktyka.
Whaling, spear phishing i BEC różnią się celem, ale często się nakładają
W branży nazwy bywają używane zamiennie, ale jeśli chce się dobrze ocenić ryzyko, warto je rozdzielić. Ja patrzę na to tak: whaling opisuje cel, spear phishing opisuje sposób przygotowania, a BEC opisuje efekt biznesowy. Te trzy rzeczy mogą wystąpić razem, ale nie muszą.
| Kryterium | Whaling | Spear phishing | BEC |
|---|---|---|---|
| Kogo atakuje | Osoby o wysokiej randze lub dostępie, np. zarząd, finanse, asystenci zarządu | Dowolną konkretną osobę lub zespół, dobranych pod cel ataku | Osoby mogące wykonać przelew, ujawnić dane lub zatwierdzić operację |
| Jak wygląda wiadomość | Silnie spersonalizowana, często oparta na relacjach i kontekście organizacji | Spersonalizowana, ale niekoniecznie ukierunkowana na najwyższe stanowiska | Często podszywa się pod zaufanego przełożonego, partnera lub dział finansowy |
| Główny cel | Dotrzeć do osoby, której decyzja ma największą wagę | Przełamać czujność konkretnego odbiorcy | Wyłudzić pieniądze, dokumenty lub dostęp do informacji |
| Relacja pojęć | Często jest odmianą spear phishingu | Szersza kategoria niż whaling | Opisuje oszustwo biznesowe, które może wykorzystywać whaling |
W praktyce najważniejsze jest to, że whaling niemal zawsze korzysta z personalizacji, a często także z podszywania się pod autorytet. Jeśli atak kończy się próbą wymuszenia przelewu albo przekazania danych do płatności, bardzo blisko mu do BEC, czyli oszustwa nastawionego na fałszywą korespondencję biznesową. Ten porządek pojęć pomaga, bo nie trzeba dyskutować o nazwie, tylko o tym, jaki jest mechanizm ataku i gdzie organizacja ma najsłabszy punkt.
Skoro różnice są już jasne, warto zobaczyć, jak taki atak wygląda krok po kroku, bo właśnie wtedy najłatwiej rozpoznać moment, w którym trzeba przerwać proces.

Jak wygląda typowy atak na „dużą rybę”
Rekonesans
Atak zaczyna się dużo wcześniej niż wiadomość w skrzynce. Ktoś sprawdza, kto jest w zarządzie, kto podpisuje płatności, jak wygląda służbowy podpis, czy firma publikuje komunikaty o nowych kontraktach, a nawet kto jest na urlopie i kto przejmuje obowiązki. To nie musi być wyrafinowane śledztwo. Czasem wystarcza 20 minut przeglądania publicznych informacji.
Podszycie się
Następnie przychodzi wiadomość, która wygląda jak zwykły element pracy. Może imitować prezesa, dyrektora finansowego, kancelarię prawną albo ważnego dostawcę. W treści pojawia się pilna prośba: zmiana numeru rachunku, przyspieszenie płatności, wysłanie listy pracowników, przekazanie faktur albo dokumentów z podpisem. Zdarza się też wersja „na dyskrecję”, czyli prośba, by nie angażować nikogo więcej.
Presja czasu
Na końcu zawsze jest presja. „Potrzebuję tego teraz”, „nie dzwoń, jestem na spotkaniu”, „została ostatnia godzina”, „to poufne”. To nie przypadek. Atakujący chce ominąć normalny rytm pracy, bo procedury są wolniejsze od emocji. Jeśli pojawia się telefon, SMS albo drugi mail z tego samego źródła, to zwykle po to, żeby domknąć presję i utrudnić weryfikację.
Najgroźniejsze scenariusze są zwykle banalne: fałszywy przelew do nowego rachunku, zmiana danych kontrahenta, przekazanie poufnej listy płac albo wyciągów z systemu. I właśnie dlatego następny temat jest ważniejszy niż sama definicja: po czym rozpoznać, że to już nie zwykła prośba, tylko próba wyłudzenia.
Po czym rozpoznać próbę whalingu zanim zrobi szkody
Ja nie szukałbym już tylko literówek. Dobre kampanie są dziś poprawne językowo, a czasem nawet bardzo przekonujące. Znacznie lepszym sygnałem ostrzegawczym jest nietypowy proces, a nie sam styl pisania. Jeśli coś nie pasuje do sposobu, w jaki ta osoba zwykle komunikuje się z firmą, trzeba uruchomić weryfikację.
- Prośba jest pilna i jednocześnie prosi o dyskrecję.
- Wiadomość dotyczy płatności, rachunku, faktury albo poufnego pliku poza standardową ścieżką.
- Nadawca używa adresu bardzo podobnego do właściwego, ale z drobną zmianą domeny lub literą.
- Tresc̨ nie zgadza się z rolą nadawcy, jego zwyczajami albo aktualnym kontekstem pracy.
- Pojawia się prośba o obejście weryfikacji, na przykład „zróbmy to bez dopytywania księgowości”.
- Załącznik wygląda jak dokument, ale ma nietypowy format, np. archiwum, plik skrótu albo zaszyfrowany PDF.
- Wiadomość naciska na działanie tu i teraz, bez czasu na sprawdzenie szczegółów.
- Odpowiedź ma przyjść na inny adres albo przez inny kanał niż zwykle.
W 2026 roku coraz częściej problemem nie jest język, tylko wiarygodność procesu. Atakujący może napisać poprawną wiadomość, ale zdradzi go to, że prosi o coś, czego w normalnym obiegu firma nigdy nie robi w ten sposób. To dobry punkt zaczepienia do obrony, bo proces można uszczelnić szybciej niż ludzką intuicję.
Skoro wiadomo, jak atak wygląda, przechodzę do rzeczy najważniejszej: co faktycznie warto wdrożyć, żeby nie polegać wyłącznie na czujności pojedynczej osoby.
Jak ograniczyć ryzyko w firmie bez ciężkich wdrożeń
Jeśli miałbym zacząć od jednej rzeczy, wybrałbym weryfikację poza e-mailem. To najprostsza i zwykle najtańsza zasada, a jednocześnie potrafi zatrzymać większość prób whalingu. Wszystko inne działa lepiej, jeśli ta reguła jest naprawdę egzekwowana, a nie tylko wpisana do polityki bezpieczeństwa.
Zabezpieczenia techniczne
W warstwie poczty warto mieć uruchomione SPF, DKIM i DMARC. SPF określa, które serwery mogą wysyłać pocztę w imieniu domeny, DKIM podpisuje wiadomość kryptograficznie, a DMARC mówi odbiorcy, co zrobić z wiadomością, która nie przejdzie kontroli. To nie blokuje każdego oszustwa, ale mocno utrudnia podszywanie się pod własną domenę firmy.
Do tego dochodzi uwierzytelnianie wieloskładnikowe, czyli MFA, na poczcie, panelach finansowych i kontach administracyjnych. Warto też wyłączyć automatyczne przekazywanie poczty na zewnętrzne skrzynki, bo to częsta droga do przejęcia korespondencji. Przydatne są także ostrzeżenia o wiadomościach z zewnątrz i filtry wykrywające spoofing, czyli fałszowanie nadawcy.Zasady procesu
Tu wygrywają proste reguły. W firmach, które obsługują płatności lub poufne dane, dobrze działa zasada dwóch osób: jedna inicjuje, druga zatwierdza. Każdą zmianę numeru rachunku, prośbę o pilny przelew albo przekazanie wrażliwych informacji trzeba potwierdzać innym kanałem niż e-mail, najlepiej przez znany numer telefonu lub wcześniej ustalony komunikator.
- Ustal jedną procedurę dla płatności i zmian danych kontrahenta.
- Ogranicz publiczne informacje o zarządzie, strukturze i nieobecnościach.
- Rób krótkie symulacje phishingowe i omawiaj je bez polowania na winnych.
- Stwórz prosty przycisk lub adres do zgłaszania podejrzanych wiadomości.
- Trzymaj aktualną listę zaufanych kontaktów do weryfikacji przelewów i decyzji.
Jeśli budżet jest ograniczony, zaczynam od procedur, nie od zakupu kolejnego narzędzia. Narzędzie pomoże, ale nie zastąpi decyzji, że „nawet prezes nie zatwierdza przelewu samym mailem”. Taka zasada bywa mniej widowiskowa niż nowe oprogramowanie, ale w praktyce daje większy efekt.
Kiedy obrona zawiedzie albo ktoś po prostu kliknie za szybko, liczy się czas. Następna sekcja pokazuje, co zrobić od razu, żeby nie zamienić błędu w większy incydent.
Co zrobić od razu, gdy wiadomość wygląda podejrzanie
Najgorszy ruch to odpowiadać w tym samym wątku i liczyć, że „wyjaśni się samo”. Jeśli coś budzi wątpliwości, trzeba zatrzymać proces i zweryfikować nadawcę innym kanałem. Dobra reakcja w pierwszych minutach potrafi ograniczyć stratę bardziej niż późniejsze tłumaczenia.
- Nie klikaj linków, nie otwieraj załączników i nie odpisuj w tym samym wątku.
- Potwierdź prośbę przez znany numer telefonu, wewnętrzny komunikator albo bezpośrednią rozmowę.
- Jeśli chodzi o pieniądze, wstrzymaj przelew do czasu pełnej weryfikacji.
- Zachowaj wiadomość, nagłówki, załączniki i zrzuty ekranu jako materiał do analizy.
- Sprawdź, czy w skrzynce nie pojawiły się nowe reguły przekazywania poczty albo logowania z nietypowych miejsc.
- Powiadom IT, bezpieczeństwo, finanse i osoby, których dotyczyła wiadomość.
- Jeśli doszło do ujawnienia danych lub kliknięcia, uruchom procedurę incydentu bez czekania na pełny obraz sytuacji.
Najprostszy zestaw zasad, który realnie podnosi próg ataku
Gdybym miał zbudować minimalny, ale sensowny zestaw obrony przed whalingiem, ustawiłbym go wokół czterech rzeczy: weryfikacji poza e-mailem, MFA, kontroli płatności i krótkiego szkolenia dla osób decyzyjnych. To nie brzmi efektownie, ale właśnie takie podstawy najczęściej robią różnicę.
- Każda nietypowa prośba finansowa wymaga potwierdzenia innym kanałem.
- Każde konto uprzywilejowane ma MFA i ograniczone uprawnienia.
- Każda zmiana rachunku kontrahenta przechodzi przez drugą osobę.
- Każda osoba z dostępem do pieniędzy i danych wie, jak zgłosić podejrzany mail w mniej niż minutę.