Bij whaling wordt door criminelen een frauduleuze e-mail verzonden naar personen met een hoge functie binnen een bedrijf, meestal directieleden of financiële managers of aandeelhouders, met als doel gevoelige of financiële data te bemachtigen.
Door informatie die de criminelen via sociale media achterhalen worden de e-mails volledig gepersonaliseerd. Ook zal de cybercrimineel er alles aan doen om de e-mail zo geloofwaardig mogelijk te laten overkomen door een logo, website, e.d. toe te voegen.
Whaling en phishing lijken heel erg op elkaar, omdat bij allebei de gevallen gebruik wordt gemaakt van frauduleuze e-mails, met als doel informatie te bemachtigen. Het grote verschil zit hem in de personen naar wie deze e-mails verzonden worden. Bij whaling richt men zich naar topfuncties binnen een bedrijf, terwijl phishing zich richt op iedereen binnen een bedrijf. Whaling is een vorm van spear-phishing, wat gerichte phishing betekent.