Whaling – co to jest, na czym polega i jak się chronić?

05/04/2025

Czas czytania: 7 minut

05/04/2025

Czas czytania: 7 minut

Whaling to coraz poważniejsze zagrożenie dla polskich przedsiębiorstw i instytucji. Cyberprzestępcy stosują tę zaawansowaną formę phishingu, podszywając się pod kadrę zarządzającą firm, aby wyłudzić poufne informacje lub pieniądze. Skuteczny atak może kosztować organizację miliony złotych i rodzi również konsekwencje prawne. Poniższy artykuł wyjaśnia istotę tego zjawiska, opisuje schemat takiego ataku oraz przedstawia przykłady i sposoby ochrony.

Co to jest whaling?

Jest to szczególny rodzaj cyberataku socjotechnicznego wymierzonego w osoby na najwyższych szczeblach organizacji – takich jak prezesi, członkowie zarządu czy dyrektorzy. Aby lepiej zrozumieć co to jest whaling, warto pamiętać, że jest to odmiana phishingu (ataku polegającego na podszywaniu się pod zaufane źródło – zob. co to jest phishing). W odróżnieniu od klasycznych, masowych kampanii phishingowych, tego rodzaju oszustwo jest wysoce spersonalizowane. Bywa ono potocznie nazywane atakiem „na prezesa” lub „polowaniem na wieloryba” i celuje w tzw. „grube ryby” – osoby decyzyjne dysponujące dostępem do finansów lub cennych danych firmy.

Określenie to wywodzi się z języka angielskiego („whale” oznacza wieloryba) i podkreśla metaforycznie, że celem atakujących są wyjątkowo „duże zdobycze”. Zjawisko to zyskało na znaczeniu w ostatnich latach wraz z pojawieniem się głośnych incydentów, w których oszuści skutecznie wyłudzili ogromne sumy pieniędzy od renomowanych przedsiębiorstw. Co ważne, choć sama nazwa tego ataku może brzmieć obco, polskie firmy również muszą się z nim liczyć – jest to proceder przestępczy występujący także w naszym kraju.

Na czym polega atak whaling?

Atak ten polega na umiejętnym podszywaniu się pod zaufaną osobę (najczęściej prezesa lub inną osobę z kierownictwa) w celu skłonienia ofiary do wykonania określonej czynności. Napastnik zwykle rozpoczyna od starannego rozpoznania – zbiera informacje o strukturze firmy, personaliach decydentów i ich kompetencjach, często przeglądając media społecznościowe i strony internetowe w poszukiwaniu danych, które uwiarygodnią przyszłe oszustwo. Następnie tworzona jest przekonująca komunikacja, najczęściej w postaci wiadomości e-mail, wyglądającej na autentyczną korespondencję od wysoko postawionej osoby lub kluczowego kontrahenta. Taka wiadomość bywa sformułowana z poczuciem pilności i poufności – np. polecenie natychmiastowego wykonania przelewu na rzecz rzekomego kontrahenta, z zastrzeżeniem, by sprawy nie omawiać z nikim innym.

Często oszust dba o każdy detal: adres nadawcy może być niemal identyczny z prawdziwym firmowym adresem e-mail (różni się np. jedną literą), albo wręcz dochodzi do przejęcia prawdziwej skrzynki pocztowej prezesa. W efekcie nawet doświadczony pracownik może nie dostrzec nic podejrzanego. W niektórych przypadkach przestępcy uwiarygadniają swój whaling phishing dodatkowymi zabiegami – np. wykonując telefon do ofiary jako rzekomy prezes lub współpracownik, by potwierdzić treść e-maila i wywrzeć dodatkową presję. Gdy ofiara zaufa otrzymanej instrukcji, wykonuje określoną akcję – najczęściej autoryzuje duży przelew na konto kontrolowane przez oszustów. Innym scenariuszem może być przekazanie poufnych dokumentów lub danych logowania, albo pobranie załącznika zawierającego złośliwe oprogramowanie.

W odróżnieniu od zwykłego phishingu, ataki tego rodzaju nie są masowe, lecz szyte na miarę pod konkretną osobę i okoliczności. Każdy taki atak jest starannie zaplanowany, a komunikacja często wygląda jak autentyczna korespondencja biznesowa. Oszuści mogą podszywać się nie tylko pod przełożonych, ale także ważnych partnerów biznesowych firmy (np. prawnika lub dyrektora finansowego z innej filii), jeśli uznają, że to zwiększy szanse powodzenia ataku.

Potrzebujesz wsparcia we własnej sprawie?

Umów się na spotkanie

Pozostaw swój numer telefonu. Oddzwonimy w celu ustalenia dogodnego terminu

Cel ataków typu whaling

Whaling jest dla cyberprzestępców atrakcyjny przede wszystkim dlatego, że potencjalne korzyści są wyjątkowo wysokie. W odróżnieniu od phishingu wymierzonego w przypadkowych użytkowników (gdzie łupem bywają drobne przelewy czy dane kart kredytowych), atak na dyrektora finansowego czy prezesa może skutkować jednorazowym wyłudzeniem znacznych kwot. Zadając pytanie whaling co to i jakie korzyści daje sprawcom – odpowiedź brzmi: możliwość wyłudzenia ogromnych sum przy relatywnie niewielkim nakładzie (jeden celowany e-mail może spowodować większą stratę niż tysiące zwykłych e-maili phishingowych). Dla przykładu, w 2015 r. amerykańska firma technologiczna Ubiquiti Networks padła ofiarą takiego ataku, tracąc w wyniku pojedynczej fałszywej korespondencji ponad 46 mln dolarów.

Głównym celem ataków tego typu pozostaje kradzież pieniędzy z firmowych kont, lecz nie jest to jedyna motywacja. Równie niebezpieczne mogą być próby uzyskania poufnych informacji – np. dostępów do systemów finansowych, danych klientów, tajemnic handlowych czy planów strategicznych firmy. Przejęcie takich danych pozwala przestępcom na dalsze nadużycia (sprzedaż informacji, szantaż, wykorzystanie danych do kolejnych ataków). W skrajnych przypadkach taki atak może służyć także zainstalowaniu w sieci firmy szkodliwego oprogramowania (np. ransomware szyfrującego dane lub spyware kradnącego informacje). Warto zauważyć, że jeśli tego rodzaju atak doprowadzi do wycieku danych osobowych lub tajemnic przedsiębiorstwa, firma ofiary poniesie nie tylko straty finansowe – grożą jej również konsekwencje prawne i reputacyjne. Naruszenie ochrony danych osobowych może skutkować administracyjną karą pieniężną od Prezesa UODO na podstawie przepisów RODO, a ujawnienie tajemnic firmy może rodzić odpowiedzialność cywilną wobec kontrahentów.

Whaling: przykłady

Ataki tego rodzaju nie są teorią – istnieje wiele udokumentowanych przypadków z ostatnich lat, które unaoczniają skalę tego zagrożenia. Wspomniana wcześniej sprawa Ubiquiti Networks nie jest odosobniona. Według danych FBI, globalne straty firm spowodowane atakami określanymi jako Business Email Compromise sięgnęły w ostatnich latach ponad 12 miliardów dolarów. Co więcej, organy ścigania odzyskują znikomy ułamek wyłudzonych środków – szacunkowo jedynie około 4%. Pokazuje to, że raz wykonany przelew na konto oszustów (często prowadzone za granicą, np. w rajach finansowych) jest w praktyce niemal nie do odwrócenia.

Polskie realia również dostarczają przykładów tego zjawiska. W 2017 roku Wydział do Walki z Cyberprzestępczością Policji w Krakowie rozbił zorganizowaną grupę stosującą metodę whaling wobec przedsiębiorstw – oszuści podszywając się pod prezesów usiłowali nakłonić działy finansowe dwóch małopolskich firm do wykonania przelewów na łączną kwotę blisko 985 tys. dolarów i 985 tys. euro. Przestępcy wykorzystywali fałszywe adresy e-mail łudząco podobne do firmowych oraz aranżowali rozmowy telefoniczne, aby uwiarygodnić swoje instrukcje. Choć w tym przypadku dzięki działaniom organów ścigania plan nie powiódł się w pełni (doszło jedynie do częściowych wyłudzeń na mniejszą skalę), pokazuje to jasno, że również w Polsce firmy są realnie narażone na tego typu oszustwa. Media coraz częściej opisują podobne incydenty „na prezesa”, a wiele z nich prawdopodobnie nie wychodzi na jaw, gdyż przedsiębiorstwa obawiają się szkód wizerunkowych.

Warto dodać, że w terminologii spotkać można również określenie whale phishing jako synonim tego rodzaju ataku. Niezależnie od nazwy, mechanizm jest ten sam – oszustwo polegające na upodobnieniu się do „wielkiej ryby” (prezesa lub dyrektora), aby skłonić ofiarę do niekorzystnego działania. Najbardziej spektakularne przykłady takich ataków ukazują, iż czujność i procedury wewnętrzne zawodzą nawet w dużych korporacjach, jeśli przestępcy zdołają przekonująco odegrać rolę osoby z autorytetem.

Masz sprawę, którą chcesz omówić?

Porozmawiajmy o Twojej sytuacji

Zgłoś chęć rozmowy. Zamów konsultację telefoniczną

Jak chronić się przed atakami whaling?

Ze względu na wysokie ryzyko, jakie niesie ze sobą atak whaling, przedsiębiorstwa powinny wdrożyć wielowarstwowe środki ostrożności. Podstawą jest budowanie świadomości pracowników – szczególnie osób odpowiedzialnych za finanse, księgowość oraz wszystkich, którzy mogą otrzymać polecenie przelewu lub wydania danych. Regularne szkolenia z zakresu cyberbezpieczeństwa powinny uwzględniać scenariusze ataku „na prezesa” i uczyć, jak rozpoznawać potencjalne oznaki takiej manipulacji (np. nietypowy styl języka w e-mailu od przełożonego, nacisk na poufność i pośpiech, drobne różnice w adresie nadawcy).

Drugim filarem ochrony są odpowiednie procedury wewnętrzne. Firma powinna wprowadzić zasadę wielostopniowej autoryzacji dużych transferów finansowych – np. każda transakcja powyżej określonej kwoty musi być potwierdzona dodatkowo telefonicznie lub osobiście u nadawcy polecenia, zanim zostanie zrealizowana. Ważne, aby takie potwierdzenie odbywało się niezależnie od informacji podanych w e-mailu (np. dzwoniąc na znany numer prezesa z wewnętrznego spisu, a nie na numer podany w podejrzanej wiadomości). Również zmiana numerów kont kontrahentów powinna wzbudzać czujność – jeżeli w korespondencji przychodzi prośba o przekazanie płatności na nowy rachunek bankowy, należy zweryfikować ją innym kanałem komunikacji z daną firmą.

Od strony technicznej warto zastosować zabezpieczenia utrudniające tego rodzaju oszustwa. Należą do nich mechanizmy email authentication (SPF, DKIM, DMARC), które pozwalają wychwycić próby podszywania się pod domenę firmową w wiadomościach e-mail. Systemy filtrujące pocztę mogą oznaczać ostrzeżeniem wiadomości przychodzące spoza organizacji lub z nietypowych adresów. Jednak nawet najlepsze filtry nie zastąpią czynnika ludzkiego – dlatego nacisk na kulturę bezpieczeństwa w firmie jest kluczowy.

Jeżeli pomimo środków ostrożności dojdzie do incydentu tego typu, należy działać jak najszybciej. W przypadku zlecenia przelewu na konto oszustów – niezwłocznie skontaktować się z bankiem, próbując zablokować transakcję lub odzyskać środki (czas odgrywa tu rolę krytyczną). Równolegle trzeba zgłosić sprawę organom ścigania, składając oficjalne zawiadomienie o podejrzeniu popełnienia przestępstwa. Tego rodzaju atak stanowi bowiem przestępstwo – choć polski Kodeks karny¹ nie wymienia wprost tych nazw, działania sprawców wyczerpują znamiona m.in. oszustwa komputerowego z art. 287 k.k. (kara do 5 lat pozbawienia wolności) oraz podszywania się pod inną osobę z art. 190a § 2 k.k. (kara do 3 lat). Często taki atak wiąże się także z nielegalnym uzyskaniem dostępu do informacji (np. włamaniem na skrzynkę e-mail prezesa), co jest osobno penalizowane w art. 267 k.k. Z perspektywy poszkodowanej firmy zgłoszenie na policję i do prokuratury jest istotne nie tylko dla ewentualnego ujęcia sprawców, ale też z uwagi na kwestie ubezpieczeniowe i formalne. Trzeba jednak mieć świadomość, że wykrycie i ukaranie winnych bywa trudne – wielu sprawców działa spoza granic kraju, a postępowania nieraz kończą się umorzeniem z powodu niewykrycia sprawcy. Mimo to, każdą próbę ataku należy traktować poważnie i raportować odpowiednim służbom.

Podsumowanie: Whaling jest wyjątkowo podstępną formą ataku phishingowego, której ofiarą może paść nawet doświadczony menedżer. W polskich realiach prawnych jest to czyn zabroniony, ściągający na sprawców odpowiedzialność karną, a na firmy – ryzyko poważnych strat finansowych i prawnych. Najlepszą strategią obrony jest prewencja: edukacja, procedury i szybkie reagowanie na wszelkie nieprawidłowości. Tylko łącząc świadomość pracowników z technologicznymi zabezpieczeniami i zdroworozsądkową zasadą ograniczonego zaufania, można skutecznie chronić się przed tego rodzaju atakami i innymi zagrożeniami w cyberprzestrzeni.

^{1. Ustawa z dnia 6 czerwca 1997 r. Kodeks karny (t.j. Dz. U. z 2025 r. poz. 383) ↩}

Autor wpisu:

Picture of Mariusz Krzyżanowski<br><font color="#C39E3A"; size=4> adwokat</font><br><br>

Mariusz Krzyżanowski
adwokat

Niniejsza publikacja została opracowana z najwyższą starannością, jednak niektóre informacje przedstawiono w sposób skrócony. W związku z tym artykuł ma wyłącznie charakter poglądowy, a zawarte w nim treści nie mogą zastępować pełnej i szczegółowej analizy danego zagadnienia. Kancelaria Adwokacka Mariusz Krzyżanowski nie ponosi odpowiedzialności za jakiekolwiek straty wynikające z działań podjętych lub zaniechanych na podstawie niniejszej publikacji. W celu omówienia indywidualnej sprawy zapraszamy do kontaktu i podjęcia współpracy.