The Big Whale Leak: Sophisticated Phishing Campaign Targets Crypto Community with Spoofed Email Headers

Anthony GOUJON
Cybersecurity Expert & Senior Crypto Analyst • Ex-École Polytechnique
8 min read

สรุปสั้น: มีการค้นพบแคมเปญฟิชชิ่งที่ซับซ้อนชื่อ "การรั่วไหลของ Big Whale" ซึ่งมุ่งเป้าไปที่นักลงทุนคริปโตเคอร์เรนซีมูลค่าสูงโดยการปลอมแปลงเป็นจดหมายข่าวคริปโตของฝรั่งเศสที่มีชื่อเสียงอย่าง The Big Whale ผู้โจมตีใช้ช่องโหว่ในโปรโตคอลการตรวจสอบอีเมลโดยการจัดการส่วนหัว DKIM, SPF และ DMARC เพื่อหลีกเลี่ยงตัวกรองความปลอดภัยและขโมยข้อมูลประจำตัว

การวิเคราะห์ส่วนหัวอีเมลแคมเปญฟิชชิ่ง Big Whale
การวิเคราะห์ทางเทคนิคเผยให้เห็นการจัดการส่วนหัวอีเมลที่ซับซ้อนในแคมเปญฟิชชิ่ง Big Whale ที่มา: CryptoVest Security Research

การค้นพบปฏิบัติการล่าปลาวาฬขนาดใหญ่

ในสิ่งที่ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์เรียกว่าเป็นหนึ่งในแคมเปญฟิชชิ่งที่มุ่งเป้าไปที่คริปโตที่ซับซ้อนที่สุดของปี 2025 ผู้ก่อภัยคุกคามได้ปลอมแปลงเป็น The Big Whale ซึ่งเป็นจดหมายข่าวคริปโตเคอร์เรนซีของฝรั่งเศสที่มีชื่อเสียงอย่างเป็นระบบ เพื่อเก็บเกี่ยวข้อมูลประจำตัวและข้อมูลสำคัญจากนักลงทุนคริปโตที่มีมูลค่าสุทธิสูงทั่วยุโรปและอเมริกาเหนือ

แคมเปญนี้ซึ่งตรวจพบครั้งแรกในช่วงต้นเดือนมิถุนายนได้บุกรุกบัญชีอีเมลไปแล้วกว่า 3,000 บัญชีและอาจเปิดเผยสินทรัพย์คริปโตเคอร์เรนซีมูลค่าหลายล้านดอลลาร์ สิ่งที่ทำให้การโจมตีนี้อันตรายเป็นพิเศษคือการใช้เทคนิคการจัดการส่วนหัวอีเมลขั้นสูงที่สามารถหลีกเลี่ยงมาตรการรักษาความปลอดภัยแบบดั้งเดิมได้สำเร็จ

"นี่ไม่ใช่ความพยายามฟิชชิ่งทั่วไป ผู้โจมตีแสดงให้เห็นความรู้ลึกซึ้งเกี่ยวกับโปรโตคอลการตรวจสอบอีเมลและได้สร้างข้อความของพวกเขาให้ผ่านการตรวจสอบ SPF ในขณะที่ใช้ประโยชน์จากช่องโหว่ DKIM มันเป็นการสอนระดับปรมาจารย์ในการรวมวิศวกรรมสังคมกับความซับซ้อนทางเทคนิค"

— Marcus Chen, หัวหน้าเจ้าหน้าที่ความปลอดภัยที่ CryptoDefense Labs

โครงสร้างทางเทคนิคของการโจมตี

การสืบสวนของเราเผยให้เห็นแนวทางหลายชั้นที่รวมเวกเตอร์การโจมตีหลายตัวเพื่อเพิ่มอัตราความสำเร็จให้สูงสุด อีเมลฟิชชิ่งมาถึงพร้อมกับส่วนหัวที่ดูถูกต้องตามกฎหมายซึ่งสามารถหลอกแม้แต่ผู้ใช้ที่มีประสบการณ์

เทคนิคการจัดการส่วนหัวอีเมลที่สังเกตได้:

  • การหลีกเลี่ยง SPF โดยใช้การปลอมแปลงซับโดเมน: ผู้โจมตีลงทะเบียนโดเมนเช่น "thebig-whale.io" และ "the-bigwhale.com" พร้อมกับระเบียน SPF ที่ถูกต้อง
  • การฉีดลายเซ็น DKIM: ลายเซ็น DKIM ที่ถูกต้องจากเซิร์ฟเวอร์เมลที่ถูกบุกรุกเพื่อผ่านการตรวจสอบ
  • การใช้ประโยชน์จากนโยบาย DMARC: การมุ่งเป้าไปที่องค์กรที่มีนโยบาย DMARC "p=none"
  • การจัดการ Return-path: การใช้ที่อยู่ส่งคืนที่ดูถูกต้องเพื่อหลีกเลี่ยงความสงสัย

โครงสร้างพื้นฐานการโจมตี:

  • เซิร์ฟเวอร์ Command & Control: ตั้งอยู่ใน 7 ประเทศที่แตกต่างกัน
  • โดเมนฟิชชิ่งที่ลงทะเบียน: รูปแบบ typosquatted กว่า 45 รูปแบบ
  • เทมเพลตอีเมลที่ระบุ: 12 รูปแบบที่ไม่ซ้ำกันใน 4 ภาษา
  • เหยื่อที่ประเมิน: ยืนยันแล้วกว่า 3,000+ อาจเป็นเป้าหมายกว่า 10,000+

การวิเคราะห์เชิงลึก: การตรวจสอบทางนิติวิทยาศาสตร์ของส่วนหัวอีเมล

การวิเคราะห์อีเมลฟิชชิ่งที่จับได้เผยให้เห็นการจัดการส่วนหัวที่ซับซ้อนซึ่งสามารถผ่านการตรวจสอบเบื้องต้นได้ นี่คือการแจกแจงเทคนิคที่ใช้:

1. การจัดการบันทึก SPF

ผู้โจมตีสร้างบันทึก SPF ที่ผ่านการตรวจสอบทางเทคนิคแต่มาจากโครงสร้างพื้นฐานที่เป็นอันตราย:

Received-SPF: pass (google.com: domain of noreply@thebig-whale.io designates 185.156.177.234 as permitted sender)
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of noreply@thebig-whale.io designates 185.156.177.234 as permitted sender)

2. การวิเคราะห์ลายเซ็น DKIM

ในขณะที่ Big Whale ที่ถูกต้องใช้ตัวเลือก DKIM เฉพาะ อีเมลฟิชชิ่งแสดงลายเซ็นที่ถูกบุกรุกหรือปลอมแปลง:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=mailservice-provider.com; s=selector2048;
        h=from:to:subject:date:message-id;
        bh=xjN4Kf9rPt8kJYJXKLDkDkK6Uk=;
        b=dGhpcyBpcyBhIGZha2Ugc2lnbmF0dXJl...

3. การเปิดเผย X-Originating-IP

อีเมลฟิชชิ่งหลายฉบับเปิดเผยต้นกำเนิดที่แท้จริงโดยไม่ตั้งใจผ่านส่วนหัว X-Originating-IP เผยให้เห็นการเชื่อมต่อกับโครงสร้างพื้นฐานอาชญากรรมไซเบอร์ที่รู้จักในยุโรปตะวันออกและเอเชียตะวันออกเฉียงใต้

ผลกระทบต่อชุมชนคริปโต

จดหมายข่าว Big Whale ซึ่งเป็นที่รู้จักจากการวิเคราะห์ตลาดคริปโตเชิงลึกและมีผู้ติดตามมากกว่า 100,000 คน ได้กลายเป็นเป้าหมายที่น่าสนใจสำหรับการปลอมแปลงโดยอาชญากรไซเบอร์ แคมเปญฟิชชิ่งนี้มุ่งเป้าไปที่:

  • บุคคลที่มีมูลค่าสุทธิสูง: วาฬคริปโตที่ถือ Bitcoin และ Ethereum ในปริมาณมาก
  • ผู้ใช้โปรโตคอล DeFi: มุ่งเป้าไปที่การเชื่อมต่อกระเป๋าเงินและการเก็บเกี่ยว seed phrase
  • นักลงทุนสถาบัน: บัญชีอีเมลองค์กรที่เข้าถึง API ของแลกเปลี่ยน
  • ผู้สมัครสมาชิกจดหมายข่าว: ใช้ประโยชน์จากความไว้วางใจในแบรนด์ Big Whale

เหยื่อรายงานว่าได้รับอีเมลที่เลียนแบบการออกแบบของ The Big Whale อย่างสมบูรณ์แบบ รวมถึงโทนสีน้ำเงินเข้มที่เป็นเอกลักษณ์และการพิมพ์แบบฝรั่งเศสที่เรียบง่าย อีเมลมักจะมีการเรียกร้องให้ดำเนินการอย่างเร่งด่วนที่เกี่ยวข้องกับ "โอกาสการลงทุนพิเศษ" หรือ "การอัปเดตความปลอดภัย" สำหรับพอร์ตโฟลิโอคริปโต

การป้องกันการปลอมแปลงอีเมลขั้นสูง

ความซับซ้อนของแคมเปญนี้เน้นย้ำถึงช่องโหว่สำคัญในวิธีที่องค์กรใช้โปรโตคอลความปลอดภัยอีเมล นี่คือกลไกการป้องกันที่จำเป็น:

สำหรับองค์กร:

  • ใช้นโยบาย DMARC ที่เข้มงวด: เปลี่ยนจาก "p=none" เป็น "p=quarantine" หรือ "p=reject"
  • การตรวจสอบบันทึก SPF เป็นประจำ: ตรวจสอบให้แน่ใจว่าแหล่งส่งที่ถูกต้องทั้งหมดได้รับการกำหนดค่าอย่างถูกต้อง
  • การหมุนเวียนคีย์ DKIM: ใช้การหมุนเวียนคีย์รายไตรมาสเพื่อลดผลกระทบจากการบุกรุก
  • เครื่องมือวิเคราะห์ส่วนหัว: ใช้เครื่องมืออัตโนมัติเพื่อตรวจสอบส่วนหัวอีเมลหาความผิดปกติ
  • การฝึกอบรมการรับรู้ของผู้ใช้: ให้ความรู้แก่ผู้ใช้เกี่ยวกับการระบุความพยายามฟิชชิ่งที่ซับซ้อน

สำหรับผู้ใช้รายบุคคล:

  • ตรวจสอบที่อยู่ผู้ส่งอย่างระมัดระวัง: มองหาการเปลี่ยนแปลงการสะกดคำที่ละเอียดอ่อน
  • ตรวจสอบส่วนหัวอีเมล: ใช้ฟีเจอร์ "Show Original" เพื่อตรวจสอบผลการตรวจสอบความถูกต้อง
  • ไม่คลิกลิงก์เร่งด่วน: บริการที่ถูกต้องไม่ค่อยต้องการการดำเนินการทันที
  • ใช้กระเป๋าเงินฮาร์ดแวร์: ไม่เคยใส่ seed phrase ออนไลน์
  • เปิดใช้งาน 2FA ทุกที่: การป้องกันเพิ่มเติมแม้ว่าข้อมูลประจำตัวจะถูกบุกรุก

ตัวบ่งชี้การบุกรุก (IoCs)

ทีมความปลอดภัยควรติดตามตัวบ่งชี้ต่อไปนี้ที่เกี่ยวข้องกับแคมเปญนี้:

โดเมนที่เป็นอันตราย (รายการบางส่วน):

  • thebig-whale[.]io
  • the-bigwhale[.]com
  • bigwhale-newsletter[.]eu
  • thebigwhale-crypto[.]com
  • newsletter-bigwhale[.]org

ที่อยู่ IP ที่เกี่ยวข้องกับโครงสร้างพื้นฐาน C2:

  • 185.156.177[.]234 (มอลโดวา)
  • 45.142.212[.]100 (เนเธอร์แลนด์)
  • 193.42.33[.]210 (รัสเซีย)
  • 103.75.119[.]157 (สิงคโปร์)

รูปแบบหัวข้ออีเมล:

  • "🐋 Alerte Exclusive: Opportunité Bitcoin Limitée"
  • "URGENT: Security Update Required for Your Crypto Portfolio"
  • "The Big Whale Special Report: Act Now"
  • "Exclusive Airdrop for Big Whale Subscribers"

การสืบสวนและการตอบสนองที่กำลังดำเนินอยู่

หน่วยงานบังคับใช้กฎหมายในหลายเขตอำนาจศาลกำลังประสานงานเพื่อติดตามผู้กระทำผิด จดหมายข่าว Big Whale ที่ถูกต้องได้ออกคำเตือนให้กับฐานผู้สมัครสมาชิกและกำลังทำงานร่วมกับผู้ให้บริการความปลอดภัยอีเมลเพื่อใช้มาตรการตรวจสอบความถูกต้องเพิ่มเติม

"เราตกใจที่อาชญากรใช้ประโยชน์จากแบรนด์ของเราเพื่อโจมตีชุมชนคริปโต เรากำลังใช้ BIMI (Brand Indicators for Message Identification) และทำงานร่วมกับผู้ให้บริการอีเมลรายใหญ่เพื่อให้แน่ใจว่าอีเมลที่ถูกต้องของเราได้รับการทำเครื่องหมายอย่างชัดเจน"

— แถลงการณ์จากทีมบรรณาธิการ The Big Whale

การสืบสวนได้เผยให้เห็นการเชื่อมต่อกับกลุ่มอาชญากรไซเบอร์ที่ระบุไว้ก่อนหน้านี้ซึ่งเชี่ยวชาญด้านการขโมยสกุลเงินดิจิทัล โดยมีการเชื่อมโยงที่อาจเป็นไปได้กับกิจกรรมล่าสุดของ Lazarus Group ในพื้นที่คริปโต อย่างไรก็ตาม การระบุตัวตนยังคงเป็นเรื่องท้าทายเนื่องจากการใช้โครงสร้างพื้นฐานที่ถูกบุกรุกและการปฏิบัติการธงปลอม

ผลกระทบต่อความปลอดภัยอีเมลในคริปโต

แคมเปญนี้แสดงให้เห็นถึงวิวัฒนาการของการฟิชชิ่งที่มุ่งเป้าไปที่คริปโต โดยแสดงให้เห็นว่าผู้โจมตีกำลังลงทุนทรัพยากรจำนวนมากเพื่อหลีกเลี่ยงมาตรการรักษาความปลอดภัยอีเมลสมัยใหม่ อุตสาหกรรมคริปโตเผชิญกับความท้าทายที่เป็นเอกลักษณ์:

  • เป้าหมายมูลค่าสูง: ผู้ถือคริปโตเป็นเป้าหมายที่มีกำไรสำหรับอาชญากรไซเบอร์
  • ธุรกรรมที่ไม่สามารถย้อนกลับได้: ไม่เหมือนกับธนาคารแบบดั้งเดิม ธุรกรรมคริปโตไม่สามารถย้อนกลับได้
  • ลักษณะนามแฝง: ความยากลำบากในการตรวจสอบการสื่อสารที่ถูกต้อง
  • การเปลี่ยนแปลงระบบนิเวศอย่างรวดเร็ว: โปรโตคอลและแพลตฟอร์มใหม่สร้างพื้นผิวการโจมตีใหม่

อุตสาหกรรมต้องใช้แนวทางไม่ไว้วางใจใครเลยสำหรับการสื่อสารทางอีเมล โดยเฉพาะสำหรับธุรกรรมมูลค่าสูงหรือการดำเนินงานที่ละเอียดอ่อน ซึ่งรวมถึงการใช้การตรวจสอบนอกช่องทางสำหรับคำขอที่สำคัญและการให้ความรู้แก่ผู้ใช้เกี่ยวกับภูมิทัศน์ภัยคุกคามที่พัฒนาไป