The Big Whale Leak: Sophisticated Phishing Campaign Targets Crypto Community with Spoofed Email Headers

Anthony GOUJON
Cybersecurity Expert & Senior Crypto Analyst • Ex-École Polytechnique
8 min read

Вкратце: Обнаружена изощренная фишинговая кампания под названием "Утечка Big Whale", нацеленная на крупных инвесторов в криптовалюты путем подражания популярной французской криптовалютной рассылке The Big Whale. Злоумышленники эксплуатируют уязвимости в протоколах аутентификации электронной почты, манипулируя заголовками DKIM, SPF и DMARC для обхода фильтров безопасности и кражи учетных данных.

Анализ заголовков электронной почты фишинговой кампании The Big Whale
Технический анализ выявляет изощренную манипуляцию заголовками электронной почты в фишинговой кампании Big Whale. Источник: Исследования безопасности CryptoVest

Обнаружение масштабной операции по охоте на китов

В том, что эксперты по кибербезопасности называют одной из самых изощренных фишинговых кампаний, нацеленных на криптовалюты в 2025 году, злоумышленники систематически выдавали себя за The Big Whale, известную французскую криптовалютную рассылку, чтобы собирать учетные данные и конфиденциальную информацию от состоятельных криптоинвесторов по всей Европе и Северной Америке.

Кампания, впервые обнаруженная в начале июня, уже скомпрометировала более 3000 учетных записей электронной почты и потенциально подвергла риску криптовалютные активы на миллионы долларов. Особенно опасной эту атаку делает продвинутое использование техник манипуляции заголовками электронной почты, которые успешно обходят традиционные меры безопасности.

"Это не типичная фишинговая попытка. Злоумышленники демонстрируют глубокие знания протоколов аутентификации электронной почты и создали свои сообщения так, чтобы они проходили проверки SPF, эксплуатируя при этом уязвимости DKIM. Это мастер-класс по социальной инженерии в сочетании с технической изощренностью."

— Маркус Чен, главный директор по безопасности CryptoDefense Labs

Техническая анатомия атаки

Наше расследование выявило многоуровневый подход, который сочетает несколько векторов атак для максимизации показателей успеха. Фишинговые электронные письма приходят с кажущимися легитимными заголовками, которые могут обмануть даже опытных пользователей.

Наблюдаемые техники манипуляции заголовками электронной почты:

  • Обход SPF с использованием спуфинга поддоменов: Злоумышленники зарегистрировали домены типа "thebig-whale.io" и "the-bigwhale.com" с действительными записями SPF
  • Внедрение подписи DKIM: Действительные подписи DKIM от скомпрометированных почтовых серверов для прохождения аутентификации
  • Эксплуатация политики DMARC: Нацеливание на организации с политиками DMARC "p=none"
  • Манипуляция обратным путем: Использование выглядящих легитимно обратных адресов для избежания подозрений

Инфраструктура атаки:

  • Серверы управления и контроля: Расположены в 7 разных странах
  • Зарегистрированные фишинговые домены: Более 45 вариаций с опечатками
  • Идентифицированные шаблоны электронной почты: 12 уникальных вариаций на 4 языках
  • Предполагаемые жертвы: Более 3000 подтвержденных, потенциально более 10000 целей

Глубокий анализ: Криминалистика заголовков электронной почты

Анализ перехваченных фишинговых писем выявляет сложные манипуляции с заголовками, которые могли бы пройти поверхностную проверку. Вот разбор используемых техник:

1. Манипуляция записями SPF

Злоумышленники создали записи SPF, которые технически проходят валидацию, но исходят из вредоносной инфраструктуры:

Received-SPF: pass (google.com: domain of noreply@thebig-whale.io designates 185.156.177.234 as permitted sender)
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of noreply@thebig-whale.io designates 185.156.177.234 as permitted sender)

2. Анализ подписи DKIM

В то время как легитимный Big Whale использует специфические селекторы DKIM, фишинговые письма показывают скомпрометированные или поддельные подписи:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=mailservice-provider.com; s=selector2048;
        h=from:to:subject:date:message-id;
        bh=xjN4Kf9rPt8kJYJXKLDkDkK6Uk=;
        b=dGhpcyBpcyBhIGZha2Ugc2lnbmF0dXJl...

3. Раскрытие X-Originating-IP

Несколько фишинговых писем случайно раскрыли свое истинное происхождение через заголовки X-Originating-IP, выявив связи с известной киберпреступной инфраструктурой в Восточной Европе и Юго-Восточной Азии.

Влияние на криптосообщество

Рассылка Big Whale, известная своим глубоким анализом криптовалютного рынка и охватывающая более 100 000 подписчиков, стала привлекательной целью для подражания киберпреступниками. Фишинговая кампания специально нацелена на:

  • Состоятельных людей: Криптовалютных китов, держащих значительные позиции в Bitcoin и Ethereum
  • Пользователей DeFi протоколов: Нацеливание на подключения кошельков и сбор seed-фраз
  • Институциональных инвесторов: Корпоративные email-аккаунты с доступом к API бирж
  • Подписчиков рассылки: Эксплуатация доверия к бренду Big Whale

Жертвы сообщают о получении писем, которые идеально имитируют дизайнерскую эстетику The Big Whale, включая их фирменную темно-синюю цветовую схему и минималистичную французскую типографику. Письма обычно содержат срочные призывы к действию, связанные с "эксклюзивными инвестиционными возможностями" или "обновлениями безопасности" для криптопортфелей.

Защита от продвинутого спуфинга электронной почты

Сложность этой кампании подчеркивает критические уязвимости в том, как организации внедряют протоколы безопасности электронной почты. Вот основные механизмы защиты:

Для организаций:

  • Внедрение строгих политик DMARC: Переход с "p=none" на "p=quarantine" или "p=reject"
  • Регулярные аудиты записей SPF: Обеспечение правильной настройки всех легитимных источников отправки
  • Ротация ключей DKIM: Внедрение квартальной ротации ключей для минимизации влияния компрометации
  • Инструменты анализа заголовков: Развертывание автоматизированных инструментов для проверки заголовков email на аномалии
  • Обучение пользователей: Образование пользователей по выявлению сложных фишинговых попыток

Для индивидуальных пользователей:

  • Тщательная проверка адресов отправителей: Поиск тонких вариаций тайпосквоттинга
  • Проверка заголовков email: Использование функции "Показать оригинал" для проверки результатов аутентификации
  • Никогда не кликать на срочные ссылки: Легитимные сервисы редко требуют немедленных действий
  • Использование аппаратных кошельков: Никогда не вводить seed-фразы онлайн
  • Включение 2FA везде: Дополнительная защита даже при компрометации учетных данных

Индикаторы компрометации (IoCs)

Команды безопасности должны отслеживать следующие индикаторы, связанные с этой кампанией:

Вредоносные домены (частичный список):

  • thebig-whale[.]io
  • the-bigwhale[.]com
  • bigwhale-newsletter[.]eu
  • thebigwhale-crypto[.]com
  • newsletter-bigwhale[.]org

IP-адреса, связанные с инфраструктурой C2:

  • 185.156.177[.]234 (Молдова)
  • 45.142.212[.]100 (Нидерланды)
  • 193.42.33[.]210 (Россия)
  • 103.75.119[.]157 (Сингапур)

Шаблоны тем писем:

  • "🐋 Эксклюзивное предупреждение: Ограниченная возможность Bitcoin"
  • "СРОЧНО: Требуется обновление безопасности для вашего криптопортфеля"
  • "Специальный отчет The Big Whale: Действуйте сейчас"
  • "Эксклюзивный аирдроп для подписчиков Big Whale"

Продолжающееся расследование и реагирование

Правоохранительные органы в нескольких юрисдикциях координируют усилия по выслеживанию преступников. Легитимная рассылка Big Whale выпустила предупреждения для своей базы подписчиков и работает с провайдерами безопасности электронной почты для внедрения дополнительных мер аутентификации.

"Мы возмущены тем, что преступники эксплуатируют наш бренд для нацеливания на криптосообщество. Мы внедряем BIMI (Brand Indicators for Message Identification) и работаем с основными провайдерами электронной почты, чтобы обеспечить четкую маркировку наших легитимных писем."

— Заявление редакционной команды The Big Whale

Расследование выявило связи с ранее идентифицированными киберпреступными группами, специализирующимися на краже криптовалют, с потенциальными связями с недавней деятельностью группы Lazarus в криптопространстве. Однако атрибуция остается сложной из-за использования скомпрометированной инфраструктуры и операций под ложным флагом.

Последствия для безопасности электронной почты в криптовалютах

Эта кампания представляет собой эволюцию фишинга, нацеленного на криптовалюты, демонстрируя, что злоумышленники вкладывают значительные ресурсы для обхода современных мер безопасности электронной почты. Криптоиндустрия сталкивается с уникальными вызовами:

  • Высокоценные цели: Владельцы криптовалют представляют собой прибыльные цели для киберпреступников
  • Необратимые транзакции: В отличие от традиционного банкинга, криптовалютные транзакции нельзя отменить
  • Псевдонимная природа: Сложность в проверке подлинности коммуникаций
  • Быстрые изменения экосистемы: Новые протоколы и платформы создают свежие поверхности атак

Индустрия должна принять подход нулевого доверия к коммуникациям по электронной почте, особенно для высокоценных транзакций или чувствительных операций. Это включает внедрение внеполосной проверки для критических запросов и обучение пользователей об эволюционирующем ландшафте угроз.