Whaling-a (literalki, baleen ehiza) phishing bideratuaren (edo spear phishing) mota bat da: bere helburuak dira erakundeetako goi-kargudunak edo zuzendaritzako kideak, hala nola zuzendariak, lehendakariak, kontseilariak, kudeatzaileak edo goi-mailako exekutiboak.
Zibergaizkileen ustez, gaur egun erakunde batean funtsezko erantzukizunak dituzten goi-mailako zuzendariek eta exekutiboek segurtasun-arloko trebakuntza jaso dute eraso-taktika ohikoenak identifikatzeko. Halaber, pentsa dezakete halakoen sistemak politika zorrotzagoen eta tresna sendoagoen bidez babestuta egongo direla. Agertoki horren aurrean, erasotzaileek helburu horiek phishingaren bidez inpaktatu nahi badituzte, askoz metodo eta aitzaki landuagoak baliatu beharko dituzte.
Edozein phishing-erasotan bezala, biktimak mezu bat jasotzen du (normalean posta elektronikoaren bidez, baina txat-deien edo -mezuen bidez ere egin daiteke), itxura legitimoarekin, ekintza jakin bat egiteko eskatuz. Mezu engainagarriek zuzendari baten jardueraren berezko gaiak eta erantzukizunak erabiltzen dituzte, eta haren ingurune korporatibo edo profesionaleko bidaltzaile batengandik etortzea simulatzen dute (beste enpresa batzuetako homologoak, hura kidea den elkarteetako adiskideak edo kideak, haren sektoreko erakundeetako ordezkariak...). Kasu tipiko bat kontseilari delegatu batena izan daiteke: ustez bere sektoreko enpresa-elkarte bateko lehendakariaren mezu bat jasoko du ongintzazko ekitaldi batera joateko gonbidatzeko ekarpen ekonomiko solidario baten truke.
Horrelako phishing bideratua, ohikoa den bezala, lagunei edo lankideei laguntzeko enpatiaz eta gogoaz baliatzen da ur handiko arraina tranpan erorarazteko. Gainera, whaling-ean, engainuak enpresa-liderren inguruko sekretismoaz, esklusibotasunaz, laudorioez, eraginaz eta ospeaz ere baliatzen dira. Norbanako-mota jakin bat –eta ez makinak– engainatzeko pentsatutako erasoa da.
Helburuak izan ohi dira dirua lapurtzea, informazio konfidentziala lortzea, enpresa- edo industria-espioitza egitea eta sistema korporatiboetarako sarbidea lortzea zilegi ez diren asmoekin. Whaling-mezuak phishingaren goi-maila dira: pertsona garrantzitsuei zuzentzen zaizkie ustez “beren mailakoa” den, eragin handia duen edo maila bera nahiz goragokoa duen pertsona edo erakunde baten izenean. “Ur handiko arrainen” doaz, horregatik esaten zaio “baleen ehiza”. Biktimak behartuta sentitzen dira bidaltzailearen aginduak zalantzan jarri gabe betetzera; harrotuta ere senti daitezke bereziak sentiarazten badituzte –liderrak direlako– haiek bakarrik erantzun dezaketen eskaera espezifiko bat jaso dutelako.
Whaling-a CEOaren iruzurrarekin nahasi ohi da, baina ez da gauza bera. Whaling-a phishing-mota bat da, erakunde bateko ur handiko arrainari zuzendua. CEOaren iruzurrean, berriz, zuzendari bat ordezten da maila apalagoko enplegatu bat engainatzeko, ia beti finantzak edo enpresaren informazioa eskuragarri dituen erdi-mailako aginte bat.
Hurbileko krimena izaten da; hau da, asmo gaiztoko taldeek haren geografia-eremuan jarduten dute. Izan ere, beren helburua lortzeko, maula-mota horrek helburuaren hizkuntza, ohiturak eta prozesu korporatiboak ezagutu behar ditu.
