द बिग व्हेल लीक: परिष्कृत फिशिंग अभियान स्पूफ्ड ईमेल हेडर के साथ क्रिप्टो समुदाय को निशाना बनाता है

संक्षेप में: "द बिग व्हेल लीक" नामक एक परिष्कृत फिशिंग अभियान की खोज की गई है, जो लोकप्रिय फ्रांसीसी क्रिप्टो न्यूजलेटर The Big Whale का रूप धारण करके उच्च-मूल्य क्रिप्टोकरेंसी निवेशकों को निशाना बना रहा है। हमलावर ईमेल प्रमाणीकरण प्रोटोकॉल में कमजोरियों का फायदा उठाते हुए DKIM, SPF, और DMARC हेडर्स में हेराफेरी करके सुरक्षा फिल्टर को बायपास करते हैं और क्रेडेंशियल चुराते हैं।

एक विशाल व्हेलिंग ऑपरेशन की खोज

साइबर सिक्योरिटी विशेषज्ञ जिसे 2025 के सबसे परिष्कृत क्रिप्टो-लक्षित फिशिंग अभियानों में से एक बता रहे हैं, उसमें खतरनाक तत्व व्यवस्थित रूप से The Big Whale, एक प्रमुख फ्रांसीसी क्रिप्टोकरेंसी न्यूजलेटर का रूप धारण करके यूरोप और उत्तरी अमेरिका के उच्च-नेट-वर्थ क्रिप्टो निवेशकों से क्रेडेंशियल और संवेदनशील जानकारी हासिल कर रहे हैं।

जून की शुरुआत में पहली बार पता चला यह अभियान पहले से ही 3,000 से अधिक ईमेल खातों को समझौता कर चुका है और संभावित रूप से लाखों डॉलर की क्रिप्टोकरेंसी संपत्ति को जोखिम में डाल चुका है। इस हमले को विशेष रूप से खतरनाक बनाता है इसका ईमेल हेडर हेराफेरी तकनीकों का उन्नत उपयोग जो पारंपरिक सुरक्षा उपायों को सफलतापूर्वक बायपास करता है।

"यह आपका सामान्य फिशिंग प्रयास नहीं है। हमलावर ईमेल प्रमाणीकरण प्रोटोकॉल की गहरी जानकारी प्रदर्शित करते हैं और अपने संदेशों को SPF जांच पास करने के लिए तैयार किया है जबकि DKIM कमजोरियों का फायदा उठाते हैं। यह तकनीकी परिष्कार के साथ सामाजिक इंजीनियरिंग का एक मास्टरक्लास है।"
— Marcus Chen, CryptoDefense Labs के मुख्य सुरक्षा अधिकारी

हमले की तकनीकी संरचना

हमारी जांच ने एक बहु-स्तरीय दृष्टिकोण का खुलासा किया जो सफलता दर को अधिकतम करने के लिए कई हमला वेक्टर को जोड़ता है। फिशिंग ईमेल वैध दिखने वाले हेडर के साथ आते हैं जो अनुभवी उपयोगकर्ताओं को भी धोखा दे सकते हैं।

देखी गई ईमेल हेडर हेराफेरी तकनीकें:

सबडोमेन स्पूफिंग का उपयोग करके SPF बायपास: हमलावरों ने "thebig-whale.io" और "the-bigwhale.com" जैसे डोमेन वैध SPF रिकॉर्ड के साथ पंजीकृत किए
DKIM सिग्नेचर इंजेक्शन: प्रमाणीकरण पास करने के लिए समझौता किए गए मेल सर्वर से वैध DKIM सिग्नेचर
DMARC नीति शोषण: "p=none" DMARC नीतियों वाले संगठनों को निशाना बनाना
रिटर्न-पाथ हेराफेरी: संदेह से बचने के लिए वैध दिखने वाले रिटर्न पते का उपयोग

हमला अवसंरचना:

कमांड एंड कंट्रोल सर्वर: 7 विभिन्न देशों में स्थित
पंजीकृत फिशिंग डोमेन: 45 से अधिक टाइपोस्क्वाटेड विविधताएं
पहचाने गए ईमेल टेम्प्लेट: 4 भाषाओं में 12 अनूठी विविधताएं
अनुमानित पीड़ित: 3,000+ पुष्ट, संभावित रूप से 10,000+ लक्षित

गहरी जांच: ईमेल हेडर फोरेंसिक

कैप्चर किए गए फिशिंग ईमेल का विश्लेषण परिष्कृत हेडर हेरफेर को प्रकट करता है जो आकस्मिक निरीक्षण को पास कर देगा। यहाँ उपयोग की गई तकनीकों का विवरण है:

1. SPF रिकॉर्ड हेरफेर

हमलावरों ने SPF रिकॉर्ड बनाए जो तकनीकी रूप से सत्यापन पास करते हैं लेकिन दुर्भावनापूर्ण इन्फ्रास्ट्रक्चर से उत्पन्न होते हैं:

Received-SPF: pass (google.com: domain of noreply@thebig-whale.io designates 185.156.177.234 as permitted sender)
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of noreply@thebig-whale.io designates 185.156.177.234 as permitted sender)

2. DKIM हस्ताक्षर विश्लेषण

जबकि वैध Big Whale विशिष्ट DKIM सेलेक्टर का उपयोग करता है, फिशिंग ईमेल समझौता किए गए या मनगढ़ंत हस्ताक्षर दिखाते हैं:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=mailservice-provider.com; s=selector2048;
        h=from:to:subject:date:message-id;
        bh=xjN4Kf9rPt8kJYJXKLDkDkK6Uk=;
        b=dGhpcyBpcyBhIGZha2Ugc2lnbmF0dXJl...

3. X-Originating-IP एक्सपोज़र

कई फिशिंग ईमेल ने अनजाने में X-Originating-IP हेडर के माध्यम से अपनी वास्तविक उत्पत्ति को उजागर किया, पूर्वी यूरोप और दक्षिण पूर्व एशिया में ज्ञात साइबर अपराधी इन्फ्रास्ट्रक्चर से कनेक्शन प्रकट करते हुए।

क्रिप्टो समुदाय पर प्रभाव

Big Whale न्यूज़लेटर, जो अपने गहन क्रिप्टो मार्केट विश्लेषण के लिए जाना जाता है और 100,000 से अधिक सब्सक्राइबर तक पहुंचता है, साइबर अपराधियों के लिए एक आकर्षक नकल का लक्ष्य बन गया है। फिशिंग अभियान विशेष रूप से निम्नलिखित को लक्षित करता है:

उच्च-नेट-वर्थ व्यक्ति: महत्वपूर्ण Bitcoin और Ethereum पोजीशन रखने वाले क्रिप्टो व्हेल
DeFi प्रोटोकॉल उपयोगकर्ता: वॉलेट कनेक्शन और सीड फ्रेज़ हार्वेस्टिंग को लक्षित करना
संस्थागत निवेशक: एक्सचेंज API तक पहुंच वाले कॉर्पोरेट ईमेल खाते
न्यूज़लेटर सब्सक्राइबर: Big Whale ब्रांड में विश्वास का दोहन

पीड़ित रिपोर्ट करते हैं कि उन्हें ऐसे ईमेल प्राप्त हो रहे हैं जो The Big Whale के डिज़ाइन सौंदर्य की पूर्ण नकल करते हैं, जिसमें उनकी विशिष्ट नेवी ब्लू कलर स्कीम और न्यूनतम फ्रेंच टाइपोग्राफी शामिल है। ईमेल में आमतौर पर "विशेष निवेश अवसरों" या क्रिप्टो पोर्टफोलियो के लिए "सुरक्षा अपडेट" से संबंधित तत्काल कॉल-टू-एक्शन होते हैं।

उन्नत ईमेल स्पूफिंग से बचाव

इस अभियान की परिष्कृतता संगठनों द्वारा ईमेल सुरक्षा प्रोटोकॉल को लागू करने के तरीके में महत्वपूर्ण कमजोरियों को उजागर करती है। यहाँ आवश्यक रक्षा तंत्र हैं:

संगठनों के लिए:

सख्त DMARC नीतियां लागू करें: "p=none" से "p=quarantine" या "p=reject" पर जाएं
नियमित SPF रिकॉर्ड ऑडिट: सुनिश्चित करें कि सभी वैध भेजने वाले स्रोत उचित रूप से कॉन्फ़िगर किए गए हैं
DKIM की रोटेशन: समझौता प्रभाव को कम करने के लिए त्रैमासिक की रोटेशन लागू करें
हेडर विश्लेषण उपकरण: असामान्यताओं के लिए ईमेल हेडर का निरीक्षण करने के लिए स्वचालित उपकरण तैनात करें
उपयोगकर्ता जागरूकता प्रशिक्षण: उपयोगकर्ताओं को परिष्कृत फिशिंग प्रयासों की पहचान करने के लिए शिक्षित करें

व्यक्तिगत उपयोगकर्ताओं के लिए:

भेजने वाले पते को सावधानीपूर्वक सत्यापित करें: सूक्ष्म टाइपोस्क्वाटिंग विविधताओं की तलाश करें
ईमेल हेडर जांचें: प्रमाणीकरण परिणामों का निरीक्षण करने के लिए "Show Original" सुविधा का उपयोग करें
कभी भी तत्काल लिंक पर क्लिक न करें: वैध सेवाओं को शायद ही कभी तत्काल कार्रवाई की आवश्यकता होती है
हार्डवेयर वॉलेट का उपयोग करें: कभी भी सीड फ्रेज़ ऑनलाइन दर्ज न करें
हर जगह 2FA सक्षम करें: क्रेडेंशियल समझौता होने पर भी अतिरिक्त सुरक्षा

समझौता के संकेतक (IoCs)

सुरक्षा टीमों को इस अभियान से जुड़े निम्नलिखित संकेतकों की निगरानी करनी चाहिए:

दुर्भावनापूर्ण डोमेन (आंशिक सूची):

thebig-whale[.]io
the-bigwhale[.]com
bigwhale-newsletter[.]eu
thebigwhale-crypto[.]com
newsletter-bigwhale[.]org

C2 इन्फ्रास्ट्रक्चर से जुड़े IP पते:

185.156.177[.]234 (Moldova)
45.142.212[.]100 (Netherlands)
193.42.33[.]210 (Russia)
103.75.119[.]157 (Singapore)

ईमेल विषय पैटर्न:

"🐋 विशेष अलर्ट: सीमित Bitcoin अवसर"
"तत्काल: आपके क्रिप्टो पोर्टफोलियो के लिए सुरक्षा अपडेट आवश्यक"
"The Big Whale विशेष रिपोर्ट: अभी कार्य करें"
"Big Whale सब्सक्राइबर के लिए विशेष एयरड्रॉप"

चल रही जांच और प्रतिक्रिया

कई न्यायाधिकार क्षेत्रों में कानून प्रवर्तन एजेंसियां अपराधियों को ट्रैक करने के लिए प्रयासों का समन्वय कर रही हैं। वैध Big Whale न्यूज़लेटर ने अपने सब्सक्राइबर आधार को चेतावनी जारी की है और अतिरिक्त प्रमाणीकरण उपायों को लागू करने के लिए ईमेल सुरक्षा प्रदाताओं के साथ काम कर रहा है।

"हम इस बात से व्यथित हैं कि अपराधी क्रिप्टो समुदाय को लक्षित करने के लिए हमारे ब्रांड का दोहन कर रहे हैं। हम BIMI (Brand Indicators for Message Identification) लागू कर रहे हैं और प्रमुख ईमेल प्रदाताओं के साथ काम कर रहे हैं ताकि हमारे वैध ईमेल स्पष्ट रूप से चिह्नित हों।"
— The Big Whale संपादकीय टीम का बयान

जांच में क्रिप्टोकरेंसी चोरी में विशेषज्ञता रखने वाले पहले से पहचाने गए साइबर अपराधी समूहों से कनेक्शन का पता चला है, जिसमें क्रिप्टो स्पेस में Lazarus Group की हाल की गतिविधियों से संभावित लिंक हैं। हालांकि, समझौता किए गए इन्फ्रास्ट्रक्चर और झूठे फ्लैग ऑपरेशन के उपयोग के कारण एट्रिब्यूशन चुनौतीपूर्ण बना हुआ है।

क्रिप्टो में ईमेल सुरक्षा के लिए निहितार्थ

यह अभियान क्रिप्टो-लक्षित फिशिंग में एक विकास का प्रतिनिधित्व करता है, जो दर्शाता है कि हमलावर आधुनिक ईमेल सुरक्षा उपायों को बायपास करने के लिए महत्वपूर्ण संसाधनों का निवेश कर रहे हैं। क्रिप्टो उद्योग अनूठी चुनौतियों का सामना करता है:

उच्च-मूल्य लक्ष्य: क्रिप्टो धारक साइबर अपराधियों के लिए आकर्षक लक्ष्य हैं
अपरिवर्तनीय लेनदेन: पारंपरिक बैंकिंग के विपरीत, क्रिप्टो लेनदेन को उलटा नहीं किया जा सकता
छद्म नाम प्रकृति: वैध संचार को सत्यापित करने में कठिनाई
तीव्र पारिस्थितिकी तंत्र परिवर्तन: नए प्रोटोकॉल और प्लेटफॉर्म नए हमले की सतह बनाते हैं

उद्योग को ईमेल संचार के लिए शून्य-विश्वास दृष्टिकोण अपनाना चाहिए, विशेष रूप से उच्च-मूल्य लेनदेन या संवेदनशील संचालन के लिए। इसमें महत्वपूर्ण अनुरोधों के लिए आउट-ऑफ-बैंड सत्यापन लागू करना और उपयोगकर्ताओं को विकसित होते खतरे के परिदृश्य के बारे में शिक्षित करना शामिल है।