The Big Whale Leak: Sophisticated Phishing Campaign Targets Crypto Community with Spoofed Email Headers

Büyük bir balina operasyonunun keşfi

Siber güvenlik uzmanlarının 2025'in en sofistike kripto hedefli kimlik avı kampanyalarından biri olarak nitelendirdiği bu saldırıda, tehdit aktörleri Avrupa ve Kuzey Amerika'daki yüksek net değerli kripto yatırımcılarından kimlik bilgileri ve hassas bilgiler toplamak için önde gelen Fransız kripto para haber bülteni The Big Whale'i sistematik olarak taklit ediyor.

Haziran ayının başlarında ilk kez tespit edilen kampanya, şimdiden 3.000'den fazla e-posta hesabını ele geçirdi ve potansiyel olarak milyonlarca dolarlık kripto para varlığını tehlikeye attı. Bu saldırıyı özellikle tehlikeli kılan şey, geleneksel güvenlik önlemlerini başarıyla atlatan gelişmiş e-posta başlık manipülasyon tekniklerini kullanmasıdır.

"Bu tipik bir kimlik avı girişimi değil. Saldırganlar e-posta kimlik doğrulama protokolleri konusunda derin bilgi sahibi ve DKIM açıklarını istismar ederken SPF kontrollerini geçecek şekilde mesajlarını hazırlamışlar. Bu, teknik sofistikasyonla birleşen sosyal mühendislikte bir ustalık örneği."

— Marcus Chen, CryptoDefense Labs Güvenlik Direktörü

Saldırının teknik anatomisi

Araştırmamız, başarı oranlarını maksimize etmek için birkaç saldırı vektörünü birleştiren çok katmanlı bir yaklaşım ortaya çıkardı. Kimlik avı e-postaları, deneyimli kullanıcıları bile kandırabilecek meşru görünümlü başlıklarla geliyor.

Gözlemlenen e-posta başlık manipülasyon teknikleri:

• Alt alan adı sahteciliği kullanarak SPF atlatma: Saldırganlar geçerli SPF kayıtlarına sahip "thebig-whale.io" ve "the-bigwhale.com" gibi alan adları kaydettiler
• DKIM imza enjeksiyonu: Kimlik doğrulamayı geçmek için ele geçirilmiş posta sunucularından geçerli DKIM imzaları
• DMARC politikası istismarı: "p=none" DMARC politikalarına sahip organizasyonları hedefleme
• Dönüş yolu manipülasyonu: Şüphe uyandırmamak için meşru görünümlü dönüş adresleri kullanma

Derinlemesine analiz: E-posta başlığı adli tıp incelemesi

Yakalanan kimlik avı e-postalarının analizi, sıradan bir incelemeyi geçebilecek sofistike başlık manipülasyonunu ortaya çıkarıyor. İşte kullanılan tekniklerin bir dökümü:

1. SPF kaydı manipülasyonu

Saldırganlar, teknik olarak doğrulamayı geçen ancak kötü amaçlı altyapıdan kaynaklanan SPF kayıtları oluşturdular:

Received-SPF: pass (google.com: domain of noreply@thebig-whale.io designates 185.156.177.234 as permitted sender)
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of noreply@thebig-whale.io designates 185.156.177.234 as permitted sender)

2. DKIM imza analizi

Meşru Big Whale belirli DKIM seçicileri kullanırken, kimlik avı e-postaları ele geçirilmiş veya sahte imzalar gösteriyor:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=mailservice-provider.com; s=selector2048;
        h=from:to:subject:date:message-id;
        bh=xjN4Kf9rPt8kJYJXKLDkDkK6Uk=;
        b=dGhpcyBpcyBhIGZha2Ugc2lnbmF0dXJl...

3. X-Originating-IP ifşası

Birkaç kimlik avı e-postası, X-Originating-IP başlıkları aracılığıyla gerçek kökenlerini yanlışlıkla ifşa etti ve Doğu Avrupa ile Güneydoğu Asya'daki bilinen siber suçlu altyapısına bağlantıları ortaya çıkardı.

Kripto topluluğu üzerindeki etkisi

Derinlemesine kripto piyasa analizi ile tanınan ve 100.000'den fazla aboneye ulaşan Big Whale bülteni, siber suçlular için çekici bir taklit hedefi haline geldi. Kimlik avı kampanyası özellikle şunları hedefliyor:

• Yüksek net değerli bireyler: Önemli Bitcoin ve Ethereum pozisyonları tutan kripto balinaları
• DeFi protokol kullanıcıları: Cüzdan bağlantılarını ve tohum kelime hasadını hedefliyor
• Kurumsal yatırımcılar: Borsa API'lerine erişimi olan kurumsal e-posta hesapları
• Bülten aboneleri: Big Whale markasına olan güveni istismar ediyor

Mağdurlar, Big Whale'in tasarım estetiğini mükemmel şekilde taklit eden e-postalar aldıklarını bildiriyor; bunlar arasında imza niteliğindeki lacivert renk şeması ve minimalist Fransız tipografisi de var. E-postalar genellikle "özel yatırım fırsatları" veya kripto portföyleri için "güvenlik güncellemeleri" ile ilgili acil eylem çağrıları içeriyor.

Gelişmiş e-posta sahteciliğine karşı savunma

Bu kampanyanın sofistikasyonu, kuruluşların e-posta güvenlik protokollerini nasıl uyguladığındaki kritik güvenlik açıklarını vurguluyor. İşte temel savunma mekanizmaları:

Kuruluşlar için:

• Sıkı DMARC politikaları uygulayın: "p=none"dan "p=quarantine" veya "p=reject"e geçin
• Düzenli SPF kayıt denetimleri: Tüm meşru gönderme kaynaklarının düzgün yapılandırıldığından emin olun
• DKIM anahtar rotasyonu: Ele geçirme etkisini minimize etmek için üç aylık anahtar rotasyonu uygulayın
• Başlık analiz araçları: E-posta başlıklarını anomaliler için incelemek üzere otomatik araçlar dağıtın
• Kullanıcı farkındalık eğitimi: Kullanıcıları sofistike kimlik avı girişimlerini tanıma konusunda eğitin

Bireysel kullanıcılar için:

• Gönderen adreslerini dikkatli doğrulayın: İnce typosquatting varyasyonlarına dikkat edin
• E-posta başlıklarını kontrol edin: Kimlik doğrulama sonuçlarını incelemek için "Orijinali Göster" özelliğini kullanın
• Acil bağlantılara asla tıklamayın: Meşru hizmetler nadiren anında eylem gerektirir
• Donanım cüzdanları kullanın: Tohum kelimelerini asla çevrimiçi girmeyin
• Her yerde 2FA'yı etkinleştirin: Kimlik bilgileri ele geçirilse bile ek koruma

Ele geçirme göstergeleri (IoC'ler)

Güvenlik ekipleri bu kampanyayla ilişkili aşağıdaki göstergeleri izlemelidir:

Kötü amaçlı alan adları (kısmi liste):

• thebig-whale[.]io
• the-bigwhale[.]com
• bigwhale-newsletter[.]eu
• thebigwhale-crypto[.]com
• newsletter-bigwhale[.]org

C2 altyapısıyla ilişkili IP adresleri:

• 185.156.177[.]234 (Moldova)
• 45.142.212[.]100 (Hollanda)
• 193.42.33[.]210 (Rusya)
• 103.75.119[.]157 (Singapur)

E-posta konu kalıpları:

• "🐋 Alerte Exclusive: Opportunité Bitcoin Limitée"
• "ACİL: Kripto Portföyünüz İçin Güvenlik Güncellemesi Gerekli"
• "The Big Whale Özel Raporu: Şimdi Harekete Geçin"
• "Big Whale Aboneleri İçin Özel Airdrop"

Devam eden soruşturma ve müdahale

Birden fazla yargı yetkisindeki kolluk kuvvetleri, failleri takip etmek için çabalarını koordine ediyor. Meşru Big Whale bülteni, abone tabanına uyarılar yayınladı ve ek kimlik doğrulama önlemleri uygulamak için e-posta güvenlik sağlayıcılarıyla çalışıyor.

"Suçluların kripto topluluğunu hedeflemek için markamızı istismar etmesinden dehşete düştük. BIMI (Mesaj Tanımlama için Marka Göstergeleri) uyguluyoruz ve meşru e-postalarımızın açıkça işaretlendiğinden emin olmak için büyük e-posta sağlayıcılarıyla çalışıyoruz."

— The Big Whale editör ekibinden açıklama

Soruşturma, kripto para hırsızlığında uzmanlaşmış daha önce tespit edilmiş siber suçlu gruplarına bağlantıları ortaya çıkardı ve Lazarus Grubu'nun kripto alanındaki son faaliyetleriyle potansiyel bağlantılar bulundu. Ancak, ele geçirilmiş altyapı kullanımı ve sahte bayrak operasyonları nedeniyle atıf belirleme zorlu kalıyor.

Kripto e-posta güvenliği için sonuçlar

Bu kampanya, kripto hedefli kimlik avı saldırılarında bir evrim temsil ediyor ve saldırganların modern e-posta güvenlik önlemlerini aşmak için önemli kaynaklar yatırdığını gösteriyor. Kripto endüstrisi benzersiz zorluklarla karşı karşıya:

• Yüksek değerli hedefler: Kripto sahipleri siber suçlular için kazançlı hedefleri temsil ediyor
• Geri alınamaz işlemler: Geleneksel bankacılığın aksine, kripto işlemleri geri alınamaz
• Takma ad doğası: Meşru iletişimleri doğrulamada zorluk
• Hızlı ekosistem değişiklikleri: Yeni protokoller ve platformlar taze saldırı yüzeyleri yaratıyor

Endüstri, özellikle yüksek değerli işlemler veya hassas operasyonlar için e-posta iletişimlerine sıfır güven yaklaşımını benimser. Bu, kritik talepler için bant dışı doğrulama uygulamayı ve kullanıcıları gelişen tehdit ortamı hakkında eğitmeyi içerir.