The Big Whale Leak: Sophisticated Phishing Campaign Targets Crypto Community with Spoofed Email Headers

Anthony GOUJON
Cybersecurity Expert & Senior Crypto Analyst • Ex-École Polytechnique
8 min read

Kurz gesagt: Eine ausgeklügelte Phishing-Kampagne namens "The Big Whale Leak" wurde entdeckt, die hochwertige Kryptowährungs-Investoren ins Visier nimmt, indem sie den beliebten französischen Krypto-Newsletter The Big Whale imitiert. Die Angreifer nutzen Schwachstellen in E-Mail-Authentifizierungsprotokollen aus und manipulieren DKIM-, SPF- und DMARC-Header, um Sicherheitsfilter zu umgehen und Anmeldedaten zu stehlen.

The Big Whale Phishing-Kampagne E-Mail-Header-Analyse
Technische Analyse zeigt ausgeklügelte E-Mail-Header-Manipulation in Big Whale Phishing-Kampagne. Quelle: CryptoVest Security Research

Entdeckung einer massiven Whaling-Operation

In dem, was Cybersicherheitsexperten als eine der ausgeklügeltsten krypto-gezielten Phishing-Kampagnen von 2025 bezeichnen, haben Bedrohungsakteure systematisch The Big Whale, einen prominenten französischen Kryptowährungs-Newsletter, imitiert, um Anmeldedaten und sensible Informationen von vermögenden Krypto-Investoren in Europa und Nordamerika zu sammeln.

Die Kampagne, die erstmals Anfang Juni entdeckt wurde, hat bereits über 3.000 E-Mail-Konten kompromittiert und möglicherweise Kryptowährungs-Assets im Wert von Millionen von Dollar preisgegeben. Was diesen Angriff besonders gefährlich macht, ist seine fortgeschrittene Nutzung von E-Mail-Header-Manipulationstechniken, die traditionelle Sicherheitsmaßnahmen erfolgreich umgehen.

"Das ist nicht Ihr typischer Phishing-Versuch. Die Angreifer zeigen tiefes Wissen über E-Mail-Authentifizierungsprotokolle und haben ihre Nachrichten so gestaltet, dass sie SPF-Prüfungen bestehen, während sie DKIM-Schwachstellen ausnutzen. Es ist ein Meisterwerk in Social Engineering kombiniert mit technischer Raffinesse."

— Marcus Chen, Chief Security Officer bei CryptoDefense Labs

Technische Anatomie des Angriffs

Unsere Untersuchung ergab einen mehrschichtigen Ansatz, der verschiedene Angriffsvektoren kombiniert, um die Erfolgsraten zu maximieren. Die Phishing-E-Mails kommen mit scheinbar legitimen Headern an, die sogar erfahrene Benutzer täuschen können.

Beobachtete E-Mail-Header-Manipulationstechniken:

  • SPF-Umgehung durch Subdomain-Spoofing: Angreifer registrierten Domains wie "thebig-whale.io" und "the-bigwhale.com" mit gültigen SPF-Einträgen
  • DKIM-Signatur-Injektion: Gültige DKIM-Signaturen von kompromittierten Mail-Servern zur Authentifizierung
  • DMARC-Richtlinien-Ausnutzung: Zielen auf Organisationen mit "p=none" DMARC-Richtlinien
  • Return-Path-Manipulation: Verwendung legitim aussehender Rücksendeadressen zur Vermeidung von Verdacht

Angriffs-Infrastruktur:

  • Command & Control Server: In 7 verschiedenen Ländern lokalisiert
  • Registrierte Phishing-Domains: Über 45 typosquatted Variationen
  • Identifizierte E-Mail-Vorlagen: 12 einzigartige Variationen in 4 Sprachen
  • Geschätzte Opfer: 3.000+ bestätigt, möglicherweise 10.000+ ins Visier genommen

Tiefere Analyse: E-Mail-Header-Forensik

Die Analyse abgefangener Phishing-E-Mails zeigt eine ausgeklügelte Header-Manipulation, die eine oberflächliche Inspektion bestehen würde. Hier ist eine Aufschlüsselung der verwendeten Techniken:

1. SPF-Record-Manipulation

Die Angreifer erstellten SPF-Records, die technisch die Validierung bestehen, aber von bösartiger Infrastruktur stammen:

Received-SPF: pass (google.com: domain of noreply@thebig-whale.io designates 185.156.177.234 as permitted sender)
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of noreply@thebig-whale.io designates 185.156.177.234 as permitted sender)

2. DKIM-Signatur-Analyse

Während The Big Whale legitim spezifische DKIM-Selektoren verwendet, zeigen die Phishing-E-Mails kompromittierte oder gefälschte Signaturen:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=mailservice-provider.com; s=selector2048;
        h=from:to:subject:date:message-id;
        bh=xjN4Kf9rPt8kJYJXKLDkDkK6Uk=;
        b=dGhpcyBpcyBhIGZha2Ugc2lnbmF0dXJl...

3. X-Originating-IP-Preisgabe

Mehrere Phishing-E-Mails enthüllten versehentlich ihre wahren Ursprünge durch X-Originating-IP-Header und zeigten Verbindungen zu bekannter Cyberkriminalitäts-Infrastruktur in Osteuropa und Südostasien.

Auswirkungen auf die Krypto-Community

Der Big Whale Newsletter, bekannt für seine tiefgreifende Krypto-Marktanalyse und mit über 100.000 Abonnenten, ist zu einem attraktiven Nachahmungsziel für Cyberkriminelle geworden. Die Phishing-Kampagne zielt speziell auf:

  • Vermögende Privatpersonen: Krypto-Wale mit bedeutenden Bitcoin- und Ethereum-Positionen
  • DeFi-Protokoll-Nutzer: Zielt auf Wallet-Verbindungen und das Abgreifen von Seed-Phrasen ab
  • Institutionelle Investoren: Unternehmens-E-Mail-Konten mit Zugang zu Exchange-APIs
  • Newsletter-Abonnenten: Ausnutzung des Vertrauens in die Big Whale Marke

Opfer berichten, dass sie E-Mails erhalten, die The Big Whales Design-Ästhetik perfekt nachahmen, einschließlich ihres charakteristischen marineblauen Farbschemas und der minimalistischen französischen Typografie. Die E-Mails enthalten typischerweise dringende Handlungsaufforderungen bezüglich "exklusiver Investitionsmöglichkeiten" oder "Sicherheitsupdates" für Krypto-Portfolios.

Schutz vor fortgeschrittenem E-Mail-Spoofing

Die Raffinesse dieser Kampagne verdeutlicht kritische Schwachstellen in der Art, wie Organisationen E-Mail-Sicherheitsprotokolle implementieren. Hier sind wesentliche Abwehrmechanismen:

Für Organisationen:

  • Strenge DMARC-Richtlinien implementieren: Von "p=none" zu "p=quarantine" oder "p=reject" wechseln
  • Regelmäßige SPF-Record-Audits: Sicherstellen, dass alle legitimen Versandquellen ordnungsgemäß konfiguriert sind
  • DKIM-Schlüssel-Rotation: Vierteljährliche Schlüssel-Rotation implementieren, um Kompromittierungsauswirkungen zu minimieren
  • Header-Analyse-Tools: Automatisierte Tools zur Inspektion von E-Mail-Headern auf Anomalien einsetzen
  • Benutzer-Awareness-Training: Benutzer über die Identifizierung ausgeklügelter Phishing-Versuche aufklären

Für einzelne Benutzer:

  • Absenderadressen sorgfältig überprüfen: Auf subtile Typosquatting-Variationen achten
  • E-Mail-Header prüfen: "Original anzeigen"-Funktion verwenden, um Authentifizierungsergebnisse zu inspizieren
  • Niemals auf dringende Links klicken: Legitime Dienste erfordern selten sofortiges Handeln
  • Hardware-Wallets verwenden: Niemals Seed-Phrasen online eingeben
  • 2FA überall aktivieren: Zusätzlicher Schutz auch bei kompromittierten Anmeldedaten

Kompromittierungsindikatoren (IoCs)

Sicherheitsteams sollten auf die folgenden Indikatoren achten, die mit dieser Kampagne verbunden sind:

Bösartige Domains (Teilliste):

  • thebig-whale[.]io
  • the-bigwhale[.]com
  • bigwhale-newsletter[.]eu
  • thebigwhale-crypto[.]com
  • newsletter-bigwhale[.]org

IP-Adressen im Zusammenhang mit C2-Infrastruktur:

  • 185.156.177[.]234 (Moldawien)
  • 45.142.212[.]100 (Niederlande)
  • 193.42.33[.]210 (Russland)
  • 103.75.119[.]157 (Singapur)

E-Mail-Betreff-Muster:

  • "🐋 Exklusiver Alarm: Begrenzte Bitcoin-Gelegenheit"
  • "DRINGEND: Sicherheitsupdate für Ihr Krypto-Portfolio erforderlich"
  • "The Big Whale Sonderbericht: Jetzt handeln"
  • "Exklusiver Airdrop für Big Whale Abonnenten"

Laufende Untersuchung und Reaktion

Strafverfolgungsbehörden aus mehreren Jurisdiktionen koordinieren ihre Bemühungen, um die Täter aufzuspüren. Der legitime Big Whale Newsletter hat Warnungen an seine Abonnentenbasis herausgegeben und arbeitet mit E-Mail-Sicherheitsanbietern zusammen, um zusätzliche Authentifizierungsmaßnahmen zu implementieren.

"Wir sind entsetzt, dass Kriminelle unsere Marke ausnutzen, um die Krypto-Community anzugreifen. Wir implementieren BIMI (Brand Indicators for Message Identification) und arbeiten mit großen E-Mail-Anbietern zusammen, um sicherzustellen, dass unsere legitimen E-Mails klar gekennzeichnet sind."

— Stellungnahme des Big Whale Redaktionsteams

Die Untersuchung hat Verbindungen zu zuvor identifizierten Cyberkriminalitätsgruppen aufgedeckt, die sich auf Kryptowährungsdiebstahl spezialisiert haben, mit möglichen Verbindungen zu den jüngsten Aktivitäten der Lazarus Group im Krypto-Bereich. Die Zuordnung bleibt jedoch aufgrund der Verwendung kompromittierter Infrastruktur und False-Flag-Operationen schwierig.

Auswirkungen auf die E-Mail-Sicherheit im Krypto-Bereich

Diese Kampagne stellt eine Weiterentwicklung des auf Kryptowährungen ausgerichteten Phishings dar und zeigt, dass Angreifer erhebliche Ressourcen investieren, um moderne E-Mail-Sicherheitsmaßnahmen zu umgehen. Die Krypto-Industrie steht vor einzigartigen Herausforderungen:

  • Hochwertige Ziele: Krypto-Inhaber stellen lukrative Ziele für Cyberkriminelle dar
  • Unumkehrbare Transaktionen: Im Gegensatz zum traditionellen Banking können Krypto-Transaktionen nicht rückgängig gemacht werden
  • Pseudonyme Natur: Schwierigkeit bei der Verifizierung legitimer Kommunikation
  • Schnelle Ökosystem-Veränderungen: Neue Protokolle und Plattformen schaffen neue Angriffsflächen

Die Industrie muss einen Zero-Trust-Ansatz für E-Mail-Kommunikation übernehmen, insbesondere für hochwertige Transaktionen oder sensible Operationen. Dies umfasst die Implementierung von Out-of-Band-Verifizierung für kritische Anfragen und die Aufklärung der Nutzer über die sich entwickelnde Bedrohungslandschaft.