Surelock IT Security Services Surelock
Home » Nieuws » Whaling: Hoe één email je bedrijf miljoenen kan kosten!
6 maart 2025 • Judith van Veen • Laatst bewerkt op 10 maart 2025

Whaling: Hoe één email je bedrijf miljoenen kan kosten!

Leestijd: 7 minuten
foto van een slot op een laptop wat online veiligheid symboliseert

Whaling is een geavanceerde vorm van spear phishing waarbij cybercriminelen zich richten op leidinggevenden, zoals CEO’s of CFO’s binnen een organisatie. Met als doel het verkrijgen van gevoelige informatie, toegang tot strategische bedrijfsgegevens of het laten goedkeuren van financiële transacties, met alle gevolgen van dien.

Whaling komt steeds vaker voor, en geen enkel bedrijf is immuun. In deze blog ontdek je hoe whaling werkt, waarom topmanagers het doelwit zijn en welke security awareness maatregelen jij als organisatie kunt nemen!

Wat is whaling?

De naam whaling is afgeleid van het Engelse woord whale (walvis) en verwijst naar het jagen op de ‘grote vissen’ binnen een organisatie, zoals CEO’s, CFO’s en andere invloedrijke personen met toegang tot vertrouwelijke informatie of financiële middelen.

Cybercriminelen maken gebruik van geavanceerde social engineering technieken om slachtoffers te misleiden. Ze sturen bijvoorbeeld een bijna niet van echt te onderscheiden email, waarin ze vragen geld over te maken of belangrijke informatie te delen. Vaak gebruiken cybercriminelen een urgente en vertrouwelijke toon, waardoor medewerkers sneller geneigd zijn in te gaan op het verzoek in de email.

Whaling aanvallen volgen meestal een vast patroon met meerdere voorbereidende stappen. Hieronder beschrijven we hoe cybercriminelen te werk gaan.

Stap 1: Data verzamelen

Voordat cybercriminelen aanvallen, proberen ze specifieke informatie over het bedrijf en de werknemers te verzamelen. Dit doen ze bijvoorbeeld door:

  • Open source intelligence (OSINT): Dit is het verzamelen en analyseren van informatie uit openbaar beschikbare bronnen. Dit helpt cybercriminelen om hun aanval geloofwaardiger te maken. Hiervoor gebruiken ze bijvoorbeeld de bedrijfswebsite en LinkedIn, om te zoeken naar namen, functies en contactpersonen.
  • Het achterhalen van emailformats en telefoonnummers, om zo realistisch mogelijk over te komen.

Stap 2: Identiteitsvervalsing

Zodra de crimineel genoeg informatie heeft bemachtigd, beginnen ze met het namaken van de bedrijfsstijl. Hierdoor lijkt het alsof de communicatie daadwerkelijk van jouw organisatie afkomstig is, dit wordt ook wel spoofing genoemd. Dit maakt het vele malen lastiger om het verschil tussen echte en valse communicatie te herkennen. Ze gebruiken hiervoor verschillende technieken:

  • Spoofing: Cybercriminelen vervalsen het emailadres van bijvoorbeeld een financieel medewerker, waardoor het lijkt alsof de email vanuit het bedrijf zelf komt. Vaak gebruiken ze een bijna identiek domein, zoals “@surel0ck.nl” in plaats van “@surelock.nl”, om de aanval nog geloofwaardiger te maken.
  • Deepfake: Dit is een techniek die gebruikmaakt van AI om realistische nepvideo’s, -audio of afbeeldingen te creëren. Hierdoor lijkt het alsof iemand iets doet of zegt, wat in de werkelijkheid nooit is gebeurd. Deze nieuwe techniek wordt steeds vaker gebruikt.

Stap 3: De aanval

De cybercriminelen benaderen via de vooraf verzamelde data een financieel medewerker of geautoriseerd persoon over een betaling of benodigd document met belangrijke gegevens. Vaak op een overtuigende maar dringende manier:

  • De CEO of CFO krijgt een mail waarin de medewerker vraagt om een grote transactie uit te voeren, meestal naar een buitenlandse rekening.
  • Hierbij wordt regelmatig de urgentie benadrukt, met de vraag om het bijvoorbeeld voor het einde van de dag af te handelen.

Door de schijnbare urgentie en ogenschijnlijk legitieme bron, zijn medewerkers sneller geneigd om zonder extra controle te handelen. Zodra de transactie is verricht, is het vaak te laat om nog iets te kunnen doen.              

Voorkomen is beter dan genezen, verhoog de security awareness binnen jouw bedrijf en bescherm je organisatie tegen whaling!

Lees meer over security awareness

Waarom zijn whaling-aanvallen gericht op hoge functies?

Whaling-aanvallen richten zich specifiek op topbestuurders zoals CEO’s, CFO’s en directeurs, omdat zij niet alleen toegang hebben tot gevoelige informatie, maar ook invloedrijke beslissingen kunnen nemen zonder veel tegenvragen. Hier zijn de belangrijkste redenen waarom juist zij het doelwit zijn:

  • Directe toegang tot vertrouwelijke informatie: Topbestuurders hebben vaker toegang tot financiële gegevens, en vertrouwelijke data waardoor ze waardevolle doelwitten zijn.
  • Hoge mate van zichtbaarheid: CEO’s en CFO’s zijn vaak publiekelijk herkenbaar via persberichten, LinkedIn en de bedrijfswebsite. Hierdoor kunnen cybercriminelen hun berichten geloofwaardiger maken.
  • Volle agenda’s: Leidinggevenden hebben veel taken en weinig tijd, waardoor ze minder vaak verdachte emails controleren.

Cybercriminelen misbruiken deze zwakke plekken en sturen perfect nagemaakte emails of deepfake-oproepen om bestuurders onder druk te zetten.

Hoe herken je whaling?

Gebruik de Security Coach van Surelock om whaling binnen jouw organisatie te voorkomen. Hiermee wordt elke email automatisch gecontroleerd en krijgen medewerkers directe waarschuwingen om het kennisniveau te verhogen.

Whaling aanvallen zijn sluw en overtuigend maar er zijn een aantal signalen waar organisaties op moeten letten.

  • Ongebruikelijke betalingsverzoeken: (Spoed)transacties naar onbekende rekeningen.
  • Afwijkende emailadressen: Kleine verschillen in domeinnamen (bijv. @surel0ck.nl i.p.v. @surelock.nl).
  • Dringende en vertrouwelijke toon: Verzoeken om direct actie te ondernemen, zonder overleg.
  • Nieuwe contactpersonen: Emails of telefoontjes van onbekende externe adviseurs of juridische teams.
  • Wijzigingen in leveranciersgegevens: Verzoek om een bankrekeningnummer aan te passen.
foto van een voorbeeld phishing mail op een laptop

Bescherm jouw bedrijf tegen CEO-fraude met de phishing simulatie van Surelock!

Lees meer over security awareness

De psychologische tactieken achter whaling

Whaling aanvallen maken gebruik van psychologische manipulatie, of zogenoemde social engineering technieken om slachtoffers te laten handelen zonder na te denken. De meest gebruikte psychologische trucs zijn:

  • Geloofwaardigheid en autoriteit: Een email die afkomstig lijkt te komen van een zakenpartner of interne afdeling wordt minder snel in twijfel getrokken.
  • Druk en urgentie: “Deze betaling moet vóór 17:00 de deur uit zijn!”
  • Vertrouwelijkheid: “Dit is een vertrouwelijke betaling, bespreek dit met niemand.”
  • Angst en straf: “Als dit niet op tijd uitgevoerd wordt, kan het grote gevolgen hebben”.

Versterk je organisatie met de security awareness-trainingen van Surelock! Door cybercriminelen te slim af te zijn, leren jouw medewerkers kritisch denken en verdachte verzoeken herkennen voordat het te laat is.

Lees meer over security awareness

Voorbeelden van bekende whaling-aanvallen

Facebook & Google – $100 miljoen gestolen (2013-2015)

Een Litouwse cybercrimineel wist tussen 2013 en 2015 maar liefst $100 miljoen te stelen van Facebook en Google. Hij deed zich voor als een leverancier en stuurde vervalste facturen naar de financiële afdelingen van beide bedrijven. Omdat de emails en documenten overtuigend waren, werd het geld zonder twijfel overgemaakt. Bron: Facebook en Google

Pathé Nederland – €19 miljoen schade door CEO-fraude (2018)

In 2018 werd bioscoopketen Pathé Nederland het slachtoffer van een whaling-aanval. Criminelen deden zich voor als het Franse hoofdkantoor en wisten via overtuigende emails de CEO en CFO te misleiden. Ze gaven opdracht om €19 miljoen over te maken naar een buitenlandse rekening, zogenaamd voor de opening van een nieuwe vestiging. De fraude werd pas ontdekt toen het geld niet meer te traceren was. Bron: Pathé Nederland

Technologieën die helpen bij het detecteren van whaling aanvallen

Gelukkig kunnen bedrijven technologie inzetten om whaling-aanvallen sneller te detecteren en te blokkeren. Hieronder beschrijven we een aantal effectieve cybersecurity-oplossingen om whaling vroegtijdig te detecteren:

  • De Security Coach van Surelock: Voorkom whaling binnen je organisatie. Elke email wordt automatisch gecontroleerd en medewerkers krijgen directe waarschuwingen bij verdachte berichten.
  • Tweefactorauthenticatie (2FA): Voorkomt ongeautoriseerde toegang, zelfs als een crimineel een wachtwoord buitmaakt, kan hij niet inloggen zonder de extra code.
  • Het vier ogen principe: Dit is een procedure waarbij alle facturen moeten worden nagekeken door twee (of meer) personen. Dit vermindert de kans op impulsieve fouten onder druk.

Door deze voorzorgsmaatregelen te implementeren, kan jouw bedrijf je cyberveiligheid versterken.

Waarom is training essentieel?

  • Medewerkers leren verdachte emails te herkennen.
  • Ze worden getraind in verificatieprocedures (bijv. altijd telefonisch bevestigen).
    Bewustwording vermindert impulsieve fouten onder druk.
  • Regelmatige phishing-simulaties en trainingen helpen bedrijven om hun teams voor te bereiden op echte aanvallen.

Wist je dat bij datalekken het in 74% van de gevallen kwam door menselijke fouten?

Conclusie

Whaling is een gerichte en geavanceerde vorm van phishing, waarbij cybercriminelen topbestuurders zoals een CEO of CFO misleiden. Door middel van overtuigende emails of telefoontjes proberen ze gevoelige informatie te verkrijgen of financiële transacties uit te lokken.

Ondanks dat whaling-aanvallen niet volledig te voorkomen zijn, kunnen organisaties het risico aanzienlijk verkleinen met een goed gestructureerd security awareness-programma en strikte verificatieprocedures.

Neem contact met ons op

Binnen 48 uur een voorstel op maat

  1. 1
    Vul je gegevens in op het aanvraagformulier
  2. 2
    Wij nemen binnen 24 uur contact met je op
  3. 3
    Kennismaking met Surelock + scope bespreking
  4. 4
    Je ontvangt een gratis plan van aanpak
  5. 5
    Aan de slag!
Bono

We zijn van maandag t/m vrijdag
bereikbaar van 8:00 tot 18:00.

 

 0348 796 146