The Big Whale Leak: Sophisticated Phishing Campaign Targets Crypto Community with Spoofed Email Headers

Ontdekking van een massale whaling operatie

In wat cybersecurity experts een van de meest geavanceerde crypto-gerichte phishing campagnes van 2025 noemen, hebben dreigingsactoren systematisch The Big Whale, een prominente Franse cryptocurrency nieuwsbrief, nagedaan om inloggegevens en gevoelige informatie te verzamelen van vermogende crypto investeerders in Europa en Noord-Amerika.

De campagne, voor het eerst gedetecteerd begin juni, heeft al meer dan 3.000 e-mailaccounts gecompromitteerd en mogelijk miljoenen dollars aan cryptocurrency activa blootgesteld. Wat deze aanval bijzonder gevaarlijk maakt is het geavanceerde gebruik van e-mail header manipulatietechnieken die traditionele beveiligingsmaatregelen succesvol omzeilen.

"Dit is niet je typische phishing poging. De aanvallers tonen diepe kennis van e-mailauthenticatieprotocollen en hebben hun berichten zo gemaakt dat ze SPF controles doorstaan terwijl ze DKIM kwetsbaarheden uitbuiten. Het is een masterclass in social engineering gecombineerd met technische verfijning."

— Marcus Chen, Chief Security Officer bij CryptoDefense Labs

Technische anatomie van de aanval

Ons onderzoek onthulde een meerlagige aanpak die verschillende aanvalsvectoren combineert om succespercentages te maximaliseren. De phishing e-mails arriveren met schijnbaar legitieme headers die zelfs ervaren gebruikers kunnen misleiden.

Waargenomen e-mail header manipulatietechnieken:

• SPF omzeiling met subdomain spoofing: Aanvallers registreerden domeinen zoals "thebig-whale.io" en "the-bigwhale.com" met geldige SPF records
• DKIM handtekening injectie: Geldige DKIM handtekeningen van gecompromitteerde mailservers om authenticatie te doorstaan
• DMARC beleid uitbuiting: Gericht op organisaties met "p=none" DMARC beleidsregels
• Return-path manipulatie: Gebruik van legitiem ogende retouradres om verdenking te vermijden

Diepgaande analyse: E-mail header forensics

Analyse van onderschepte phishing-e-mails onthult geavanceerde header-manipulatie die een oppervlakkige inspectie zou doorstaan. Hier is een overzicht van de gebruikte technieken:

1. SPF record manipulatie

De aanvallers creëerden SPF records die technisch gezien de validatie doorstaan maar afkomstig zijn van kwaadaardige infrastructuur:

Received-SPF: pass (google.com: domain of noreply@thebig-whale.io designates 185.156.177.234 as permitted sender)
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of noreply@thebig-whale.io designates 185.156.177.234 as permitted sender)

2. DKIM handtekening analyse

Terwijl de legitieme Big Whale specifieke DKIM selectors gebruikt, tonen de phishing-e-mails gecompromitteerde of vervalste handtekeningen:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=mailservice-provider.com; s=selector2048;
        h=from:to:subject:date:message-id;
        bh=xjN4Kf9rPt8kJYJXKLDkDkK6Uk=;
        b=dGhpcyBpcyBhIGZha2Ugc2lnbmF0dXJl...

3. X-Originating-IP blootstelling

Verschillende phishing-e-mails onthulden per ongeluk hun werkelijke oorsprong via X-Originating-IP headers, wat verbindingen met bekende cybercriminele infrastructuur in Oost-Europa en Zuidoost-Azië aan het licht bracht.

Impact op de crypto-gemeenschap

De Big Whale nieuwsbrief, bekend om zijn diepgaande crypto marktanalyse en met meer dan 100.000 abonnees, is een aantrekkelijk imitatiedoelwit geworden voor cybercriminelen. De phishing-campagne richt zich specifiek op:

• Vermogende individuen: Crypto walvissen die aanzienlijke Bitcoin en Ethereum posities aanhouden
• DeFi protocol gebruikers: Gericht op wallet-verbindingen en het oogsten van seed phrases
• Institutionele beleggers: Zakelijke e-mailaccounts met toegang tot exchange API's
• Nieuwsbrief abonnees: Misbruik maken van vertrouwen in het Big Whale merk

Slachtoffers melden dat ze e-mails ontvangen die The Big Whale's ontwerpesthetiek perfect nabootsen, inclusief hun kenmerkende marineblauw kleurenschema en minimalistische Franse typografie. De e-mails bevatten doorgaans urgente oproepen tot actie gerelateerd aan "exclusieve investeringsmogelijkheden" of "beveiligingsupdates" voor crypto-portfolio's.

Verdediging tegen geavanceerde e-mail spoofing

De geavanceerdheid van deze campagne benadrukt kritieke kwetsbaarheden in hoe organisaties e-mailbeveiligingsprotocollen implementeren. Hier zijn essentiële verdedigingsmechanismen:

Voor organisaties:

• Implementeer strikte DMARC-beleid: Ga van "p=none" naar "p=quarantine" of "p=reject"
• Regelmatige SPF record audits: Zorg ervoor dat alle legitieme verzendende bronnen correct geconfigureerd zijn
• DKIM sleutelrotatie: Implementeer driemaandelijkse sleutelrotatie om compromis-impact te minimaliseren
• Header analyse tools: Zet geautomatiseerde tools in om e-mail headers te inspecteren op anomalieën
• Gebruikersbewustzijnstraining: Educeer gebruikers over het identificeren van geavanceerde phishing-pogingen

Voor individuele gebruikers:

• Verifieer afzenderadressen zorgvuldig: Let op subtiele typosquatting variaties
• Controleer e-mail headers: Gebruik "Origineel tonen" functie om authenticatieresultaten te inspecteren
• Klik nooit op urgente links: Legitieme diensten vereisen zelden onmiddellijke actie
• Gebruik hardware wallets: Voer nooit seed phrases online in
• Schakel overal 2FA in: Extra bescherming zelfs als inloggegevens gecompromitteerd zijn

Indicatoren van compromittering (IoCs)

Beveiligingsteams moeten monitoren op de volgende indicatoren geassocieerd met deze campagne:

Kwaadaardige domeinen (gedeeltelijke lijst):

• thebig-whale[.]io
• the-bigwhale[.]com
• bigwhale-newsletter[.]eu
• thebigwhale-crypto[.]com
• newsletter-bigwhale[.]org

IP-adressen geassocieerd met C2 infrastructuur:

• 185.156.177[.]234 (Moldavië)
• 45.142.212[.]100 (Nederland)
• 193.42.33[.]210 (Rusland)
• 103.75.119[.]157 (Singapore)

E-mail onderwerp patronen:

• "🐋 Exclusieve Waarschuwing: Beperkte Bitcoin Kans"
• "URGENT: Beveiligingsupdate Vereist voor Uw Crypto Portfolio"
• "The Big Whale Speciaal Rapport: Handel Nu"
• "Exclusieve Airdrop voor Big Whale Abonnees"

Lopend onderzoek en reactie

Wetshandhavingsinstanties in meerdere jurisdicties coördineren inspanningen om de daders op te sporen. De legitieme Big Whale nieuwsbrief heeft waarschuwingen uitgegeven aan zijn abonneebestand en werkt samen met e-mailbeveiligingsproviders om aanvullende authenticatiemaatregelen te implementeren.

"We zijn geschokt dat criminelen ons merk misbruiken om de crypto-gemeenschap te targeten. We implementeren BIMI (Brand Indicators for Message Identification) en werken samen met grote e-mailproviders om ervoor te zorgen dat onze legitieme e-mails duidelijk gemarkeerd zijn."

— Verklaring van The Big Whale redactieteam

Het onderzoek heeft verbindingen aan het licht gebracht met eerder geïdentificeerde cybercriminele groepen gespecialiseerd in cryptocurrency-diefstal, met mogelijke links naar de recente activiteiten van de Lazarus Group in de crypto-ruimte. Echter, attributie blijft uitdagend vanwege het gebruik van gecompromitteerde infrastructuur en false flag operaties.

Implicaties voor e-mailbeveiliging in crypto

Deze campagne vertegenwoordigt een evolutie in crypto-gerichte phishing en toont aan dat aanvallers aanzienlijke middelen investeren om moderne e-mailbeveiligingsmaatregelen te omzeilen. De crypto-industrie staat voor unieke uitdagingen:

• Waardevolle doelwitten: Crypto-houders vertegenwoordigen lucratieve doelwitten voor cybercriminelen
• Onomkeerbare transacties: In tegenstelling tot traditioneel bankieren kunnen crypto-transacties niet worden teruggedraaid
• Pseudonieme aard: Moeilijkheid bij het verifiëren van legitieme communicatie
• Snelle ecosysteemveranderingen: Nieuwe protocollen en platforms creëren nieuwe aanvalsvlakken

De industrie moet een zero-trust benadering aannemen voor e-mailcommunicatie, vooral voor waardevolle transacties of gevoelige operaties. Dit omvat het implementeren van out-of-band verificatie voor kritieke verzoeken en het opleiden van gebruikers over het evoluerende dreigingslandschap.