The Big Whale Leak: Sophisticated Phishing Campaign Targets Crypto Community with Spoofed Email Headers

Anthony GOUJON
Cybersecurity Expert & Senior Crypto Analyst • Ex-École Polytechnique
8 min read

باختصار: تم اكتشاف حملة تصيد إلكتروني متطورة تُدعى "تسريب الحوت الكبير"، تستهدف مستثمري العملات المشفرة ذوي القيمة العالية من خلال انتحال شخصية النشرة الإخبارية الفرنسية الشهيرة للعملات المشفرة The Big Whale. يستغل المهاجمون الثغرات في بروتوكولات مصادقة البريد الإلكتروني، ويتلاعبون برؤوس DKIM وSPF وDMARC لتجاوز مرشحات الأمان وسرقة بيانات الاعتماد.

تحليل رأس البريد الإلكتروني لحملة التصيد الإلكتروني The Big Whale
يكشف التحليل التقني عن تلاعب متطور برؤوس البريد الإلكتروني في حملة التصيد الإلكتروني Big Whale. المصدر: أبحاث الأمان CryptoVest

اكتشاف عملية صيد ضخمة للحيتان

فيما يصفه خبراء الأمن السيبراني بأنه واحد من أكثر حملات التصيد الإلكتروني تطوراً المستهدفة للعملات المشفرة في عام 2025، قام الجهات الفاعلة المهددة بانتحال شخصية The Big Whale، وهي نشرة إخبارية فرنسية بارزة للعملات المشفرة، بشكل منهجي لحصاد بيانات الاعتماد والمعلومات الحساسة من مستثمري العملات المشفرة ذوي الثروات العالية عبر أوروبا وأمريكا الشمالية.

الحملة، التي تم اكتشافها لأول مرة في أوائل يونيو، قد اخترقت بالفعل أكثر من 3,000 حساب بريد إلكتروني وعرضت ملايين الدولارات من أصول العملات المشفرة للخطر. ما يجعل هذا الهجوم خطيراً بشكل خاص هو استخدامه المتقدم لتقنيات التلاعب برؤوس البريد الإلكتروني التي تنجح في تجاوز التدابير الأمنية التقليدية.

"هذه ليست محاولة تصيد إلكتروني نموذجية. يُظهر المهاجمون معرفة عميقة ببروتوكولات مصادقة البريد الإلكتروني وقد صاغوا رسائلهم لتمرير فحوصات SPF بينما يستغلون ثغرات DKIM. إنها درس متقن في الهندسة الاجتماعية مقترن بالتطور التقني."

— Marcus Chen، كبير مسؤولي الأمان في CryptoDefense Labs

التشريح التقني للهجوم

كشف تحقيقنا عن نهج متعدد الطبقات يجمع بين عدة متجهات هجوم لتعظيم معدلات النجاح. تصل رسائل البريد الإلكتروني المخادعة برؤوس تبدو مشروعة يمكنها خداع حتى المستخدمين ذوي الخبرة.

تقنيات التلاعب برؤوس البريد الإلكتروني المرصودة:

  • تجاوز SPF باستخدام انتحال النطاق الفرعي: سجل المهاجمون نطاقات مثل "thebig-whale.io" و"the-bigwhale.com" مع سجلات SPF صالحة
  • حقن توقيع DKIM: توقيعات DKIM صالحة من خوادم بريد مخترقة لتمرير المصادقة
  • استغلال سياسة DMARC: استهداف المؤسسات التي لديها سياسات DMARC "p=none"
  • التلاعب بمسار الإرجاع: استخدام عناوين إرجاع تبدو مشروعة لتجنب الشك

البنية التحتية للهجوم:

  • خوادم القيادة والتحكم: موجودة في 7 دول مختلفة
  • نطاقات التصيد المسجلة: أكثر من 45 تنويعة مقلدة
  • قوالب البريد الإلكتروني المحددة: 12 تنويعة فريدة بـ 4 لغات
  • الضحايا المقدرون: أكثر من 3,000 مؤكد، وربما أكثر من 10,000 مستهدف

تحليل عميق: الطب الشرعي لرؤوس البريد الإلكتروني

يكشف تحليل رسائل البريد الإلكتروني الاحتيالية المُلتقطة عن تلاعب متطور في الرؤوس من شأنه أن يجتاز الفحص العادي. إليك تفصيل للتقنيات المُستخدمة:

1. التلاعب بسجل SPF

أنشأ المهاجمون سجلات SPF تجتاز التحقق تقنياً ولكنها تنشأ من بنية تحتية ضارة:

Received-SPF: pass (google.com: domain of noreply@thebig-whale.io designates 185.156.177.234 as permitted sender)
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of noreply@thebig-whale.io designates 185.156.177.234 as permitted sender)

2. تحليل توقيع DKIM

بينما يستخدم The Big Whale الشرعي محددات DKIM معينة، تُظهر رسائل البريد الإلكتروني الاحتيالية توقيعات مُخترقة أو مُفبركة:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=mailservice-provider.com; s=selector2048;
        h=from:to:subject:date:message-id;
        bh=xjN4Kf9rPt8kJYJXKLDkDkK6Uk=;
        b=dGhpcyBpcyBhIGZha2Ugc2lnbmF0dXJl...

3. كشف X-Originating-IP

كشفت عدة رسائل بريد إلكتروني احتيالية عن أصولها الحقيقية عن غير قصد من خلال رؤوس X-Originating-IP، مما كشف عن اتصالات ببنية تحتية إجرامية معروفة في أوروبا الشرقية وجنوب شرق آسيا.

التأثير على مجتمع العملات المشفرة

أصبحت نشرة The Big Whale الإخبارية، المعروفة بتحليلها المتعمق لسوق العملات المشفرة ووصولها إلى أكثر من 100,000 مشترك، هدفاً جذاباً للانتحال من قبل مجرمي الإنترنت. تستهدف الحملة الاحتيالية تحديداً:

  • الأفراد ذوي الثروات العالية: حيتان العملات المشفرة التي تحتفظ بمراكز كبيرة من Bitcoin و Ethereum
  • مستخدمي بروتوكولات DeFi: استهداف اتصالات المحافظ وحصاد العبارات الأولية
  • المستثمرون المؤسسيون: حسابات البريد الإلكتروني للشركات التي لديها وصول إلى واجهات برمجة تطبيقات البورصات
  • مشتركو النشرة الإخبارية: استغلال الثقة في علامة The Big Whale التجارية

يُبلغ الضحايا عن تلقي رسائل بريد إلكتروني تحاكي تماماً الجمالية التصميمية لـ The Big Whale، بما في ذلك نظام الألوان الأزرق الداكن المميز والطباعة الفرنسية البسيطة. تحتوي الرسائل الإلكترونية عادة على دعوات عاجلة للعمل تتعلق بـ "فرص استثمارية حصرية" أو "تحديثات أمنية" لمحافظ العملات المشفرة.

الدفاع ضد انتحال البريد الإلكتروني المتقدم

تُسلط تطور هذه الحملة الضوء على نقاط ضعف حرجة في كيفية تنفيذ المؤسسات لبروتوكولات أمان البريد الإلكتروني. إليك آليات الدفاع الأساسية:

للمؤسسات:

  • تنفيذ سياسات DMARC صارمة: الانتقال من "p=none" إلى "p=quarantine" أو "p=reject"
  • مراجعات منتظمة لسجل SPF: ضمان تكوين جميع مصادر الإرسال الشرعية بشكل صحيح
  • تدوير مفاتيح DKIM: تنفيذ تدوير ربع سنوي للمفاتيح لتقليل تأثير الاختراق
  • أدوات تحليل الرؤوس: نشر أدوات آلية لفحص رؤوس البريد الإلكتروني للكشف عن الشذوذ
  • تدريب توعية المستخدمين: تثقيف المستخدمين حول تحديد محاولات التصيد المتطورة

للمستخدمين الأفراد:

  • التحقق من عناوين المرسلين بعناية: البحث عن اختلافات خفية في انتحال الأسماء
  • فحص رؤوس البريد الإلكتروني: استخدام ميزة "إظهار الأصل" لفحص نتائج المصادقة
  • عدم النقر على الروابط العاجلة أبداً: نادراً ما تتطلب الخدمات الشرعية إجراءً فورياً
  • استخدام محافظ الأجهزة: عدم إدخال العبارات الأولية عبر الإنترنت أبداً
  • تمكين 2FA في كل مكان: حماية إضافية حتى لو تم اختراق بيانات الاعتماد

مؤشرات الاختراق (IoCs)

يجب على فرق الأمان مراقبة المؤشرات التالية المرتبطة بهذه الحملة:

النطاقات الضارة (قائمة جزئية):

  • thebig-whale[.]io
  • the-bigwhale[.]com
  • bigwhale-newsletter[.]eu
  • thebigwhale-crypto[.]com
  • newsletter-bigwhale[.]org

عناوين IP المرتبطة ببنية C2 التحتية:

  • 185.156.177[.]234 (مولدوفا)
  • 45.142.212[.]100 (هولندا)
  • 193.42.33[.]210 (روسيا)
  • 103.75.119[.]157 (سنغافورة)

أنماط موضوع البريد الإلكتروني:

  • "🐋 تنبيه حصري: فرصة Bitcoin محدودة"
  • "عاجل: مطلوب تحديث أمني لمحفظة العملات المشفرة الخاصة بك"
  • "تقرير The Big Whale الخاص: تصرف الآن"
  • "إسقاط جوي حصري لمشتركي Big Whale"

التحقيق المستمر والاستجابة

تنسق وكالات إنفاذ القانون عبر عدة ولايات قضائية الجهود لتتبع الجناة. أصدرت نشرة The Big Whale الإخبارية الشرعية تحذيرات لقاعدة مشتركيها وتعمل مع مقدمي أمان البريد الإلكتروني لتنفيذ تدابير مصادقة إضافية.

"نحن مذعورون من أن المجرمين يستغلون علامتنا التجارية لاستهداف مجتمع العملات المشفرة. نحن ننفذ BIMI (مؤشرات العلامة التجارية لتحديد الرسائل) ونعمل مع مقدمي البريد الإلكتروني الرئيسيين لضمان وضع علامة واضحة على رسائلنا الإلكترونية الشرعية."

— بيان من فريق تحرير The Big Whale

كشف التحقيق عن اتصالات بمجموعات إجرامية إلكترونية محددة سابقاً متخصصة في سرقة العملات المشفرة، مع روابط محتملة بأنشطة مجموعة Lazarus الأخيرة في مجال العملات المشفرة. ومع ذلك، تبقى الإسناد صعباً بسبب استخدام بنية تحتية مخترقة وعمليات العلم الزائف.

الآثار على أمان البريد الإلكتروني في العملات المشفرة

تمثل هذه الحملة تطورًا في التصيد الاحتيالي المستهدف للعملات المشفرة، مما يدل على أن المهاجمين يستثمرون موارد كبيرة لتجاوز تدابير أمان البريد الإلكتروني الحديثة. تواجه صناعة العملات المشفرة تحديات فريدة:

  • أهداف عالية القيمة: يمثل حاملو العملات المشفرة أهدافًا مربحة لمجرمي الإنترنت
  • معاملات غير قابلة للإلغاء: على عكس الخدمات المصرفية التقليدية، لا يمكن إلغاء معاملات العملات المشفرة
  • الطبيعة المستعارة: صعوبة في التحقق من الاتصالات المشروعة
  • تغيرات سريعة في النظام البيئي: البروتوكولات والمنصات الجديدة تخلق أسطح هجوم جديدة

يجب على الصناعة اعتماد نهج عدم الثقة المطلقة في اتصالات البريد الإلكتروني، خاصة للمعاملات عالية القيمة أو العمليات الحساسة. يشمل ذلك تنفيذ التحقق خارج النطاق للطلبات الحرجة وتثقيف المستخدمين حول المشهد المتطور للتهديدات.