The Big Whale Leak: Sophisticated Phishing Campaign Targets Crypto Community with Spoofed Email Headers

Odkrycie masowej operacji wielorybiej

W tym, co eksperci cyberbezpieczeństwa nazywają jedną z najbardziej wyrafinowanych kampanii phishingowych skierowanych na kryptowaluty w 2025 roku, podmioty zagrożeń systematycznie podszywają się pod The Big Whale, prominentny francuski newsletter kryptowalutowy, aby zbierać dane uwierzytelniające i poufne informacje od inwestorów kryptowalut o wysokiej wartości netto w Europie i Ameryce Północnej.

Kampania, po raz pierwszy wykryta na początku czerwca, już skompromitowała ponad 3000 kont e-mail i potencjalnie naraziła miliony dolarów w aktywach kryptowalutowych. To, co czyni ten atak szczególnie niebezpiecznym, to jego zaawansowane wykorzystanie technik manipulacji nagłówkami e-mail, które skutecznie omijają tradycyjne środki bezpieczeństwa.

"To nie jest typowa próba phishingu. Atakujący wykazują głęboką znajomość protokołów uwierzytelniania e-mail i stworzyli swoje wiadomości tak, aby przeszły kontrole SPF, jednocześnie wykorzystując luki DKIM. To mistrzowska lekcja inżynierii społecznej połączona z wyrafinowaniem technicznym."

— Marcus Chen, Dyrektor ds. Bezpieczeństwa w CryptoDefense Labs

Anatomia techniczna ataku

Nasze śledztwo ujawniło wielowarstwowe podejście, które łączy kilka wektorów ataku w celu maksymalizacji wskaźników sukcesu. E-maile phishingowe docierają z pozornie legalnymi nagłówkami, które mogą oszukać nawet doświadczonych użytkowników.

Obserwowane techniki manipulacji nagłówkami e-mail:

• Omijanie SPF przy użyciu spoofingu subdomen: Atakujący zarejestrowali domeny takie jak "thebig-whale.io" i "the-bigwhale.com" z ważnymi rekordami SPF
• Wstrzykiwanie podpisu DKIM: Ważne podpisy DKIM ze skompromitowanych serwerów pocztowych w celu przejścia uwierzytelniania
• Wykorzystanie polityki DMARC: Celowanie w organizacje z politykami DMARC "p=none"
• Manipulacja ścieżką zwrotną: Używanie legalnie wyglądających adresów zwrotnych, aby uniknąć podejrzeń

Głęboka analiza: Kryminalistyka nagłówków e-mail

Analiza przechwyconych e-maili phishingowych ujawnia wyrafinowaną manipulację nagłówkami, która przeszłaby powierzchowną inspekcję. Oto podział zastosowanych technik:

1. Manipulacja rekordami SPF

Atakujący stworzyli rekordy SPF, które technicznie przechodzą walidację, ale pochodzą ze złośliwej infrastruktury:

Received-SPF: pass (google.com: domain of noreply@thebig-whale.io designates 185.156.177.234 as permitted sender)
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of noreply@thebig-whale.io designates 185.156.177.234 as permitted sender)

2. Analiza podpisu DKIM

Podczas gdy prawdziwy Big Whale używa określonych selektorów DKIM, e-maile phishingowe pokazują skompromitowane lub sfabrykowane podpisy:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=mailservice-provider.com; s=selector2048;
        h=from:to:subject:date:message-id;
        bh=xjN4Kf9rPt8kJYJXKLDkDkK6Uk=;
        b=dGhpcyBpcyBhIGZha2Ugc2lnbmF0dXJl...

3. Ujawnienie X-Originating-IP

Kilka e-maili phishingowych nieumyślnie ujawniło swoje prawdziwe pochodzenie poprzez nagłówki X-Originating-IP, ujawniając połączenia ze znaną infrastrukturą cyberprzestępczą w Europie Wschodniej i Azji Południowo-Wschodniej.

Wpływ na społeczność krypto

Newsletter Big Whale, znany z dogłębnych analiz rynku krypto i docierający do ponad 100 000 subskrybentów, stał się atrakcyjnym celem podszywania się dla cyberprzestępców. Kampania phishingowa celuje szczególnie w:

• Osoby o wysokiej wartości netto: Wieloryby krypto posiadające znaczące pozycje Bitcoin i Ethereum
• Użytkownicy protokołów DeFi: Celowanie w połączenia portfeli i zbieranie fraz seed
• Inwestorzy instytucjonalni: Konta e-mail korporacyjne z dostępem do API giełd
• Subskrybenci newslettera: Wykorzystywanie zaufania do marki Big Whale

Ofiary zgłaszają otrzymywanie e-maili, które doskonale naśladują estetykę designu The Big Whale, włączając ich charakterystyczny granatowy schemat kolorów i minimalistyczną francuską typografię. E-maile zazwyczaj zawierają pilne wezwania do działania związane z "ekskluzywnymi możliwościami inwestycyjnymi" lub "aktualizacjami bezpieczeństwa" dla portfeli krypto.

Obrona przed zaawansowanym spoofingiem e-mail

Wyrafinowanie tej kampanii podkreśla krytyczne luki w sposobie implementacji protokołów bezpieczeństwa e-mail przez organizacje. Oto niezbędne mechanizmy obrony:

Dla organizacji:

• Implementacja ścisłych polityk DMARC: Przejście z "p=none" na "p=quarantine" lub "p=reject"
• Regularne audyty rekordów SPF: Zapewnienie prawidłowej konfiguracji wszystkich legalnych źródeł wysyłania
• Rotacja kluczy DKIM: Implementacja kwartalnej rotacji kluczy w celu minimalizacji wpływu kompromitacji
• Narzędzia analizy nagłówków: Wdrożenie automatycznych narzędzi do inspekcji nagłówków e-mail pod kątem anomalii
• Szkolenia świadomości użytkowników: Edukacja użytkowników w identyfikacji wyrafinowanych prób phishingu

Dla użytkowników indywidualnych:

• Ostrożna weryfikacja adresów nadawców: Szukanie subtelnych wariantów typosquattingu
• Sprawdzanie nagłówków e-mail: Używanie funkcji "Pokaż oryginał" do inspekcji wyników uwierzytelniania
• Nigdy nie klikaj pilnych linków: Legalne usługi rzadko wymagają natychmiastowego działania
• Używaj portfeli sprzętowych: Nigdy nie wprowadzaj fraz seed online
• Włącz 2FA wszędzie: Dodatkowa ochrona nawet jeśli dane logowania zostaną skompromitowane

Wskaźniki kompromitacji (IoCs)

Zespoły bezpieczeństwa powinny monitorować następujące wskaźniki związane z tą kampanią:

Złośliwe domeny (lista częściowa):

• thebig-whale[.]io
• the-bigwhale[.]com
• bigwhale-newsletter[.]eu
• thebigwhale-crypto[.]com
• newsletter-bigwhale[.]org

Adresy IP związane z infrastrukturą C2:

• 185.156.177[.]234 (Mołdawia)
• 45.142.212[.]100 (Holandia)
• 193.42.33[.]210 (Rosja)
• 103.75.119[.]157 (Singapur)

Wzorce tematów e-mail:

• "🐋 Alerte Exclusive: Opportunité Bitcoin Limitée"
• "PILNE: Wymagana aktualizacja bezpieczeństwa dla Twojego portfela krypto"
• "The Big Whale Raport Specjalny: Działaj teraz"
• "Ekskluzywny Airdrop dla subskrybentów Big Whale"

Trwające śledztwo i reakcja

Agencje ścigania z wielu jurysdykcji koordynują wysiłki w celu wyśledzenia sprawców. Legalny newsletter Big Whale wydał ostrzeżenia dla swojej bazy subskrybentów i współpracuje z dostawcami bezpieczeństwa e-mail w celu implementacji dodatkowych środków uwierzytelniania.

"Jesteśmy oburzeni, że przestępcy wykorzystują naszą markę do atakowania społeczności krypto. Implementujemy BIMI (Brand Indicators for Message Identification) i współpracujemy z głównymi dostawcami e-mail, aby zapewnić, że nasze legalne e-maile są wyraźnie oznaczone."

— Oświadczenie zespołu redakcyjnego The Big Whale

Śledztwo ujawniło połączenia z wcześniej zidentyfikowanymi grupami cyberprzestępczymi specjalizującymi się w kradzieży kryptowalut, z potencjalnymi powiązaniami z niedawnymi działaniami Grupy Lazarus w przestrzeni krypto. Jednak atrybucja pozostaje wyzwaniem ze względu na użycie skompromitowanej infrastruktury i operacje fałszywej flagi.

Implikacje dla bezpieczeństwa e-maili w krypto

Ta kampania reprezentuje ewolucję w phishingu skierowanym na krypto, demonstrując, że atakujący inwestują znaczne zasoby w obejście nowoczesnych środków bezpieczeństwa e-mail. Branża krypto stoi przed unikalnymi wyzwaniami:

• Cele o wysokiej wartości: Posiadacze krypto stanowią lukratywne cele dla cyberprzestępców
• Nieodwracalne transakcje: W przeciwieństwie do tradycyjnej bankowości, transakcje krypto nie mogą być cofnięte
• Pseudonimowa natura: Trudność w weryfikacji legalnych komunikatów
• Szybkie zmiany w ekosystemie: Nowe protokoły i platformy tworzą świeże powierzchnie ataku

Branża musi przyjąć podejście zero-trust do komunikacji e-mailowej, szczególnie dla transakcji o wysokiej wartości lub wrażliwych operacji. Obejmuje to wdrożenie weryfikacji poza pasmem dla krytycznych żądań i edukację użytkowników o ewoluującym krajobrazie zagrożeń.