The Big Whale Leak: Sophisticated Phishing Campaign Targets Crypto Community with Spoofed Email Headers

Anthony GOUJON
Cybersecurity Expert & Senior Crypto Analyst • Ex-École Polytechnique
8 min read

Singkatnya: Kampanye phishing canggih yang dijuluki "Kebocoran Big Whale" telah ditemukan, menargetkan investor cryptocurrency bernilai tinggi dengan menyamar sebagai newsletter kripto Prancis populer The Big Whale. Para penyerang mengeksploitasi kerentanan dalam protokol otentikasi email, memanipulasi header DKIM, SPF, dan DMARC untuk melewati filter keamanan dan mencuri kredensial.

Analisis Header Email Kampanye Phishing The Big Whale
Analisis teknis mengungkap manipulasi header email canggih dalam kampanye phishing Big Whale. Sumber: Riset Keamanan CryptoVest

Penemuan operasi whaling masif

Dalam apa yang disebut para ahli keamanan siber sebagai salah satu kampanye phishing yang menargetkan kripto paling canggih di tahun 2025, para pelaku ancaman telah secara sistematis menyamar sebagai The Big Whale, newsletter cryptocurrency Prancis terkemuka, untuk memanen kredensial dan informasi sensitif dari investor kripto bernilai tinggi di seluruh Eropa dan Amerika Utara.

Kampanye ini, pertama kali terdeteksi pada awal Juni, telah mengkompromikan lebih dari 3.000 akun email dan berpotensi mengekspos jutaan dolar dalam aset cryptocurrency. Yang membuat serangan ini sangat berbahaya adalah penggunaan canggih teknik manipulasi header email yang berhasil melewati langkah-langkah keamanan tradisional.

"Ini bukan upaya phishing biasa. Para penyerang menunjukkan pengetahuan mendalam tentang protokol otentikasi email dan telah menyusun pesan mereka untuk lulus pemeriksaan SPF sambil mengeksploitasi kerentanan DKIM. Ini adalah masterclass dalam rekayasa sosial yang dikombinasikan dengan kecanggihan teknis."

— Marcus Chen, Chief Security Officer di CryptoDefense Labs

Anatomi teknis serangan

Investigasi kami mengungkap pendekatan berlapis yang menggabungkan beberapa vektor serangan untuk memaksimalkan tingkat keberhasilan. Email phishing tiba dengan header yang tampaknya sah yang dapat menipu bahkan pengguna berpengalaman.

Teknik manipulasi header email yang diamati:

  • Bypass SPF menggunakan spoofing subdomain: Penyerang mendaftarkan domain seperti "thebig-whale.io" dan "the-bigwhale.com" dengan catatan SPF yang valid
  • Injeksi tanda tangan DKIM: Tanda tangan DKIM yang valid dari server email yang dikompromikan untuk lulus otentikasi
  • Eksploitasi kebijakan DMARC: Menargetkan organisasi dengan kebijakan DMARC "p=none"
  • Manipulasi return-path: Menggunakan alamat return yang tampak sah untuk menghindari kecurigaan

Infrastruktur serangan:

  • Server Command & Control: Berlokasi di 7 negara berbeda
  • Domain phishing terdaftar: Lebih dari 45 variasi typosquatted
  • Template email teridentifikasi: 12 variasi unik dalam 4 bahasa
  • Perkiraan korban: 3.000+ terkonfirmasi, berpotensi 10.000+ ditargetkan

Analisis mendalam: Forensik header email

Analisis email phishing yang berhasil ditangkap mengungkapkan manipulasi header yang canggih yang dapat lolos dari pemeriksaan kasual. Berikut adalah rincian teknik yang digunakan:

1. Manipulasi record SPF

Para penyerang membuat record SPF yang secara teknis lolos validasi tetapi berasal dari infrastruktur berbahaya:

Received-SPF: pass (google.com: domain of noreply@thebig-whale.io designates 185.156.177.234 as permitted sender)
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of noreply@thebig-whale.io designates 185.156.177.234 as permitted sender)

2. Analisis tanda tangan DKIM

Sementara Big Whale yang sah menggunakan selektor DKIM tertentu, email phishing menunjukkan tanda tangan yang dikompromikan atau dipalsukan:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=mailservice-provider.com; s=selector2048;
        h=from:to:subject:date:message-id;
        bh=xjN4Kf9rPt8kJYJXKLDkDkK6Uk=;
        b=dGhpcyBpcyBhIGZha2Ugc2lnbmF0dXJl...

3. Paparan X-Originating-IP

Beberapa email phishing secara tidak sengaja mengekspos asal sebenarnya melalui header X-Originating-IP, mengungkapkan koneksi ke infrastruktur cybercriminal yang dikenal di Eropa Timur dan Asia Tenggara.

Dampak pada komunitas kripto

Newsletter Big Whale, yang dikenal karena analisis pasar kripto mendalam dan menjangkau lebih dari 100.000 pelanggan, telah menjadi target penyamaran yang menarik bagi penjahat cyber. Kampanye phishing secara khusus menargetkan:

  • Individu dengan kekayaan bersih tinggi: Paus kripto yang memegang posisi Bitcoin dan Ethereum yang signifikan
  • Pengguna protokol DeFi: Menargetkan koneksi wallet dan pemanenan seed phrase
  • Investor institusional: Akun email korporat dengan akses ke API exchange
  • Pelanggan newsletter: Mengeksploitasi kepercayaan pada merek Big Whale

Korban melaporkan menerima email yang sempurna meniru estetika desain The Big Whale, termasuk skema warna biru navy khas mereka dan tipografi Prancis minimalis. Email biasanya berisi ajakan bertindak mendesak terkait "peluang investasi eksklusif" atau "pembaruan keamanan" untuk portofolio kripto.

Bertahan melawan spoofing email canggih

Kecanggihan kampanye ini menyoroti kerentanan kritis dalam cara organisasi mengimplementasikan protokol keamanan email. Berikut adalah mekanisme pertahanan penting:

Untuk organisasi:

  • Implementasikan kebijakan DMARC yang ketat: Pindah dari "p=none" ke "p=quarantine" atau "p=reject"
  • Audit record SPF secara berkala: Pastikan semua sumber pengiriman yang sah dikonfigurasi dengan benar
  • Rotasi kunci DKIM: Implementasikan rotasi kunci triwulanan untuk meminimalkan dampak kompromi
  • Alat analisis header: Deploy alat otomatis untuk memeriksa header email untuk anomali
  • Pelatihan kesadaran pengguna: Edukasi pengguna tentang mengidentifikasi upaya phishing yang canggih

Untuk pengguna individu:

  • Verifikasi alamat pengirim dengan hati-hati: Cari variasi typosquatting yang halus
  • Periksa header email: Gunakan fitur "Show Original" untuk memeriksa hasil autentikasi
  • Jangan pernah klik tautan mendesak: Layanan yang sah jarang memerlukan tindakan segera
  • Gunakan hardware wallet: Jangan pernah masukkan seed phrase secara online
  • Aktifkan 2FA di mana-mana: Perlindungan tambahan bahkan jika kredensial dikompromikan

Indikator kompromi (IoCs)

Tim keamanan harus memantau indikator berikut yang terkait dengan kampanye ini:

Domain berbahaya (daftar sebagian):

  • thebig-whale[.]io
  • the-bigwhale[.]com
  • bigwhale-newsletter[.]eu
  • thebigwhale-crypto[.]com
  • newsletter-bigwhale[.]org

Alamat IP yang terkait dengan infrastruktur C2:

  • 185.156.177[.]234 (Moldova)
  • 45.142.212[.]100 (Belanda)
  • 193.42.33[.]210 (Rusia)
  • 103.75.119[.]157 (Singapura)

Pola subjek email:

  • "🐋 Alerte Exclusive: Opportunité Bitcoin Limitée"
  • "URGENT: Security Update Required for Your Crypto Portfolio"
  • "The Big Whale Special Report: Act Now"
  • "Exclusive Airdrop for Big Whale Subscribers"

Investigasi dan respons yang sedang berlangsung

Badan penegak hukum di berbagai yurisdiksi sedang mengoordinasikan upaya untuk melacak para pelaku. Newsletter Big Whale yang sah telah mengeluarkan peringatan kepada basis pelanggannya dan bekerja sama dengan penyedia keamanan email untuk mengimplementasikan langkah-langkah autentikasi tambahan.

"Kami sangat terkejut bahwa penjahat mengeksploitasi merek kami untuk menargetkan komunitas kripto. Kami mengimplementasikan BIMI (Brand Indicators for Message Identification) dan bekerja dengan penyedia email utama untuk memastikan email sah kami ditandai dengan jelas."

— Pernyataan dari tim editorial The Big Whale

Investigasi telah mengungkapkan koneksi ke kelompok cybercriminal yang sebelumnya diidentifikasi yang mengkhususkan diri dalam pencurian cryptocurrency, dengan potensi tautan ke aktivitas terbaru Lazarus Group di ruang kripto. Namun, atribusi tetap menantang karena penggunaan infrastruktur yang dikompromikan dan operasi bendera palsu.

Implikasi untuk keamanan email dalam kripto

Kampanye ini merepresentasikan evolusi dalam phishing yang menargetkan kripto, menunjukkan bahwa penyerang menginvestasikan sumber daya yang signifikan untuk melewati langkah-langkah keamanan email modern. Industri kripto menghadapi tantangan unik:

  • Target bernilai tinggi: Pemegang kripto merepresentasikan target yang menguntungkan bagi penjahat siber
  • Transaksi tidak dapat dibatalkan: Tidak seperti perbankan tradisional, transaksi kripto tidak dapat dibatalkan
  • Sifat pseudonim: Kesulitan dalam memverifikasi komunikasi yang sah
  • Perubahan ekosistem yang cepat: Protokol dan platform baru menciptakan permukaan serangan yang segar

Industri harus mengadopsi pendekatan zero-trust untuk komunikasi email, terutama untuk transaksi bernilai tinggi atau operasi sensitif. Ini termasuk mengimplementasikan verifikasi out-of-band untuk permintaan kritis dan mendidik pengguna tentang lanskap ancaman yang berkembang.