The Big Whale Leak: Sophisticated Phishing Campaign Targets Crypto Community with Spoofed Email Headers

Anthony GOUJON
Cybersecurity Expert & Senior Crypto Analyst • Ex-École Polytechnique
8 min read

简要概述:一个名为"大鲸鱼泄露"的复杂钓鱼攻击活动被发现,该活动通过冒充法国知名加密货币通讯The Big Whale来针对高价值加密货币投资者。攻击者利用电子邮件认证协议中的漏洞,操纵DKIM、SPF和DMARC头部来绕过安全过滤器并窃取凭据。

The Big Whale钓鱼攻击活动电子邮件头部分析
技术分析揭示了Big Whale钓鱼攻击活动中复杂的电子邮件头部操纵手法。 来源:CryptoVest安全研究

发现大规模鲸鱼钓鱼行动

在网络安全专家称为2025年最复杂的针对加密货币的钓鱼攻击活动中,威胁行为者一直在系统性地冒充The Big Whale(一份知名的法国加密货币通讯),从欧洲和北美的高净值加密货币投资者那里收集凭据和敏感信息。

该攻击活动于6月初首次被发现,已经入侵了超过3000个电子邮件账户,并可能暴露了价值数百万美元的加密货币资产。使这次攻击特别危险的是其先进的电子邮件头部操纵技术,成功绕过了传统的安全措施。

"这不是典型的钓鱼攻击。攻击者展现了对电子邮件认证协议的深度了解,并精心制作了能够通过SPF检查的消息,同时利用DKIM漏洞。这是社会工程学与技术复杂性相结合的大师级作品。"

— Marcus Chen,CryptoDefense Labs首席安全官

攻击的技术剖析

我们的调查揭示了一种多层次的方法,结合了多个攻击向量来最大化成功率。钓鱼邮件带着看似合法的头部到达,甚至可以欺骗有经验的用户。

观察到的电子邮件头部操纵技术:

  • 使用子域名欺骗绕过SPF:攻击者注册了"thebig-whale.io"和"the-bigwhale.com"等具有有效SPF记录的域名
  • DKIM签名注入:来自被入侵邮件服务器的有效DKIM签名以通过认证
  • DMARC策略利用:针对具有"p=none"DMARC策略的组织
  • 返回路径操纵:使用看起来合法的返回地址以避免怀疑

攻击基础设施:

  • 命令与控制服务器:位于7个不同国家
  • 注册的钓鱼域名:超过45个域名抢注变体
  • 识别的电子邮件模板:4种语言的12个独特变体
  • 估计受害者:3000+已确认,可能10000+被针对

深入分析:电子邮件标头取证

对捕获的钓鱼邮件分析显示,攻击者使用了复杂的标头操作技术,这些技术能够通过粗略检查。以下是所使用技术的详细分析:

1. SPF记录操作

攻击者创建了技术上能够通过验证但源自恶意基础设施的SPF记录:

Received-SPF: pass (google.com: domain of noreply@thebig-whale.io designates 185.156.177.234 as permitted sender)
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of noreply@thebig-whale.io designates 185.156.177.234 as permitted sender)

2. DKIM签名分析

虽然合法的Big Whale使用特定的DKIM选择器,但钓鱼邮件显示出被破解或伪造的签名:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=mailservice-provider.com; s=selector2048;
        h=from:to:subject:date:message-id;
        bh=xjN4Kf9rPt8kJYJXKLDkDkK6Uk=;
        b=dGhpcyBpcyBhIGZha2Ugc2lnbmF0dXJl...

3. X-Originating-IP暴露

几封钓鱼邮件通过X-Originating-IP标头无意中暴露了其真实来源,揭示了与东欧和东南亚已知网络犯罪基础设施的连接。

对加密货币社区的影响

Big Whale通讯以其深入的加密货币市场分析而闻名,拥有超过10万订阅者,已成为网络犯罪分子有吸引力的冒充目标。该钓鱼活动专门针对:

  • 高净值个人:持有大量比特币和以太坊头寸的加密货币巨鲸
  • DeFi协议用户:针对钱包连接和助记词收集
  • 机构投资者:具有交易所API访问权限的企业邮箱账户
  • 通讯订阅者:利用对Big Whale品牌的信任

受害者报告收到完美模仿Big Whale设计美学的邮件,包括其标志性的海军蓝配色方案和简约的法式排版。这些邮件通常包含与"独家投资机会"或加密货币投资组合"安全更新"相关的紧急行动呼吁。

防御高级邮件欺骗

这次活动的复杂性突出了组织在实施邮件安全协议方面的关键漏洞。以下是必要的防御机制:

对于组织:

  • 实施严格的DMARC策略:从"p=none"转移到"p=quarantine"或"p=reject"
  • 定期SPF记录审计:确保所有合法发送源都得到正确配置
  • DKIM密钥轮换:实施季度密钥轮换以最小化破解影响
  • 标头分析工具:部署自动化工具检查邮件标头异常
  • 用户意识培训:教育用户识别复杂的钓鱼尝试

对于个人用户:

  • 仔细验证发件人地址:查找细微的域名抢注变体
  • 检查邮件标头:使用"显示原始内容"功能检查认证结果
  • 永远不要点击紧急链接:合法服务很少需要立即行动
  • 使用硬件钱包:永远不要在线输入助记词
  • 到处启用2FA:即使凭据被破解也能提供额外保护

入侵指标(IoCs)

安全团队应监控与此次活动相关的以下指标:

恶意域名(部分列表):

  • thebig-whale[.]io
  • the-bigwhale[.]com
  • bigwhale-newsletter[.]eu
  • thebigwhale-crypto[.]com
  • newsletter-bigwhale[.]org

与C2基础设施相关的IP地址:

  • 185.156.177[.]234 (摩尔多瓦)
  • 45.142.212[.]100 (荷兰)
  • 193.42.33[.]210 (俄罗斯)
  • 103.75.119[.]157 (新加坡)

邮件主题模式:

  • "🐋 独家警报:限时比特币机会"
  • "紧急:您的加密货币投资组合需要安全更新"
  • "Big Whale特别报告:立即行动"
  • "Big Whale订阅者独家空投"

持续调查和响应

多个司法管辖区的执法机构正在协调努力追踪肇事者。合法的Big Whale通讯已向其订阅者群体发出警告,并正在与邮件安全提供商合作实施额外的认证措施。

"我们对犯罪分子利用我们的品牌来针对加密货币社区感到愤慨。我们正在实施BIMI(消息识别品牌指标)并与主要邮件提供商合作,确保我们的合法邮件得到明确标记。"

— Big Whale编辑团队声明

调查揭示了与之前确认的专门从事加密货币盗窃的网络犯罪集团的联系,可能与Lazarus Group最近在加密货币领域的活动有关。然而,由于使用了被破解的基础设施和虚假标志行动,归因仍然具有挑战性。

对加密货币邮件安全的影响

这次攻击活动代表了针对加密货币的钓鱼攻击的演进,表明攻击者正在投入大量资源来绕过现代邮件安全措施。加密货币行业面临独特的挑战:

  • 高价值目标:加密货币持有者是网络犯罪分子的诱人目标
  • 不可逆转的交易:与传统银行业不同,加密货币交易无法撤销
  • 匿名性质:难以验证合法通信
  • 生态系统快速变化:新协议和平台创造了新的攻击面

该行业必须对邮件通信采用零信任方法,特别是对于高价值交易或敏感操作。这包括对关键请求实施带外验证,并教育用户了解不断演变的威胁环境。