Os cibercriminosos escolhem uma "whale" (baleia) com acesso ao seu objetivo e um remetente com acesso à sua "whale". Por exemplo, um cibercriminoso que deseja interceptar pagamentos para o parceiro de cadeia de suprimentos de uma empresa pode enviar ao CFO da empresa uma fatura e uma solicitação de pagamento do CEO do parceiro de cadeia de suprimentos. Um atacante que deseja roubar dados de funcionários pode se passar pelo CFO e solicitar informações de folha de pagamento ao vice-presidente de recursos humanos.
Para tornar as mensagens dos remetentes credíveis e convincentes, os golpistas de whaling pesquisam minuciosamente seus alvos e remetentes, juntamente com as organizações onde trabalham.
Graças à quantidade de compartilhamento e conversas que as pessoas realizam nas redes sociais e em outros lugares on-line, os golpistas podem encontrar muitas das informações de que precisam apenas pesquisando em sites de redes sociais ou na web. Por exemplo, ao simplesmente estudar o perfil do LinkedIn de um alvo potencial, um atacante pode aprender o cargo da pessoa, responsabilidades, endereço de e-mail da empresa, nome do departamento, nomes e cargos de colegas de trabalho e parceiros de negócios, eventos recentemente atendidos e planos de viagem de negócios.
Dependendo do alvo, a mídia convencional, de negócios e local pode fornecer informações adicionais, como negócios rumores ou concluídos, projetos em licitação e custos de construção projetados que os golpistas podem usar. Os hackers muitas vezes conseguem criar um e-mail de spear phishing convincente com apenas uma busca geral no Google.
Mas, ao se preparar para um ataque de whale phishing, os golpistas muitas vezes realizam a importante etapa extra de hackear o alvo e o remetente para coletar material adicional. Isso pode ser tão simples quanto infectar os computadores do alvo e do remetente com spyware, que permite que o golpista visualize o conteúdo de arquivos para pesquisas adicionais. Golpistas mais ambiciosos invadirão a rede do remetente e obterão acesso às contas de e-mail ou mensagens de texto do remetente, onde poderão observar e se inserir em conversas reais.