Whaling: phishing gericht op directie en bestuur

Whaling is spear phishing met de allergrootste vissen. Het richt zich op CEO's, CFO's, bestuurders en commissarissen. De keuze is logisch: deze mensen hebben goedkeuringsbevoegdheid voor grote bedragen, toegang tot strategische data en weinig tijd voor zorgvuldige verificatie. De combinatie maakt ze waardevol en kwetsbaar.

Waarom kwetsbaarder

Een bestuurder werkt vanuit vier landen per maand, kijkt mail tussen vergaderingen door en delegeert aan een directiesecretaresse. Hij scant in plaats van leest. Een geloofwaardige mail die in een korte spanne aandacht voorbij komt, wordt sneller doorgestuurd of beantwoord. Bestuurders hebben vaak ook nog een uitzonderingspositie in beveiligingsbeleid: geen MFA op het tablet, eigen apparaten zonder MDM, mail-doorzending naar een prive-adres.

Governance-fraude

Whaling beperkt zich niet tot betalingen. Aanvallers proberen ook strategische informatie te oogsten: M&A-stukken, prijsstellingen, salarisinformatie. Een gehackte mailbox van een bestuurder geeft toegang tot raad-van-toezicht-correspondentie, jaarverslagdocumenten in concept, en discussies over reorganisaties. Voor concurrenten en activistische aandeelhouders waardevol genoeg om voor te betalen.

Deepfake CEO-call

De nieuwste variant gebruikt AI-stem-klonen. De CFO krijgt een telefoontje van zijn "CEO" die een dringende overboeking vraagt. De stem klopt, omdat hij is gegenereerd uit publieke optredens van de CEO. In 2019 verloor een Brits energiebedrijf 220.000 euro aan een deepfake-call. In 2024 verloor een multinational in Hongkong 25 miljoen dollar via een deepfake-videocall met meerdere "directieleden". Verdediging: een terugbel-protocol naar het bekende mobiele nummer, en een afgesproken codewoord voor uitzonderlijke verzoeken.

Raad-van-toezicht-protocollen

Toezichthouders zijn vaak parttime, gebruiken eigen mailadressen en hebben geen IT-ondersteuning vanuit de organisatie. Toch ontvangen ze gevoelige bestuursstukken. Beveilig deze stroom met een afgeschermd portaal zoals Boardvantage of Diligent, niet via gewone mail. Voor mailcorrespondentie: encryptie, MFA en gedragsafspraken over wat wel en niet via mail mag.

Awareness voor de top

Bestuurders zitten zelden in standaard awareness-trajecten. Werk met een aparte sessie van 90 minuten waarin u recente whaling-cases bespreekt en hun eigen LinkedIn-aanwezigheid toont vanuit aanvallersperspectief. Laat een gerichte phishing-simulatie naar henzelf uitvoeren, met respectvolle nazorg. PhishWise en Cofense ondersteunen executive-trajecten waarin het rapport alleen bij de CISO en de bestuurder zelf landt.

Incidentplan

Bij een gehackte directiemailbox telt elke minuut. Maak vooraf een draaiboek: wie isoleert het account, wie communiceert met externe partijen die met deze mailbox correspondeerden, en wie informeert de raad van toezicht en eventueel de AP.

Verwant: Cybersecurity consultant, Freelance business consultant.