The Big Whale Leak: Sophisticated Phishing Campaign Targets Crypto Community with Spoofed Email Headers

Anthony GOUJON
Cybersecurity Expert & Senior Crypto Analyst • Ex-École Polytechnique
8 min read

簡述:一個名為「大鯨魚洩露事件」的精密網路釣魚活動已被發現,該活動冒充法國知名加密貨幣電子報The Big Whale,針對高價值加密貨幣投資者。攻擊者利用電子郵件驗證協議的漏洞,操縱DKIM、SPF和DMARC標頭來繞過安全過濾器並竊取憑證。

The Big Whale網路釣魚活動電子郵件標頭分析
技術分析揭示Big Whale網路釣魚活動中的精密電子郵件標頭操縱手法。 來源:CryptoVest安全研究

發現大規模鯨魚狩獵行動

網路安全專家稱之為2025年最精密的針對加密貨幣的網路釣魚活動之一,威脅行為者系統性地冒充The Big Whale這個著名的法國加密貨幣電子報,從歐洲和北美的高淨值加密貨幣投資者那裡收集憑證和敏感資訊。

這項活動於6月初首次被發現,已經入侵了超過3,000個電子郵件帳戶,並可能暴露了價值數百萬美元的加密貨幣資產。這次攻擊特別危險的原因在於其先進的電子郵件標頭操縱技術,成功繞過了傳統的安全措施。

「這不是典型的網路釣魚嘗試。攻擊者展現了對電子郵件驗證協議的深度了解,並精心製作了能通過SPF檢查的訊息,同時利用DKIM漏洞。這是社會工程學與技術精密度結合的大師級表現。」

— Marcus Chen,CryptoDefense Labs首席安全官

攻擊的技術剖析

我們的調查揭示了一種多層次的方法,結合了多個攻擊向量以最大化成功率。網路釣魚電子郵件帶著看似合法的標頭到達,甚至可以欺騙有經驗的用戶。

觀察到的電子郵件標頭操縱技術:

  • 使用子域名欺騙繞過SPF:攻擊者註冊了像「thebig-whale.io」和「the-bigwhale.com」這樣的域名,並設置了有效的SPF記錄
  • DKIM簽名注入:來自被入侵郵件伺服器的有效DKIM簽名以通過驗證
  • DMARC政策利用:針對具有「p=none」DMARC政策的組織
  • 回傳路徑操縱:使用看起來合法的回傳地址以避免懷疑

攻擊基礎設施:

  • 指揮控制伺服器:位於7個不同國家
  • 註冊的網路釣魚域名:超過45個錯字搶註變體
  • 識別的電子郵件模板:4種語言的12個獨特變體
  • 估計受害者:3,000+已確認,可能10,000+被鎖定

深入分析:電子郵件標頭鑑識

對捕獲的釣魚郵件分析顯示,攻擊者使用了精密的標頭操作技術,這些技術能夠通過一般檢查。以下是所使用技術的詳細分析:

1. SPF記錄操作

攻擊者創建了技術上能通過驗證的SPF記錄,但這些記錄來自惡意基礎設施:

Received-SPF: pass (google.com: domain of noreply@thebig-whale.io designates 185.156.177.234 as permitted sender)
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of noreply@thebig-whale.io designates 185.156.177.234 as permitted sender)

2. DKIM簽名分析

雖然合法的Big Whale使用特定的DKIM選擇器,但釣魚郵件顯示出被破壞或偽造的簽名:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=mailservice-provider.com; s=selector2048;
        h=from:to:subject:date:message-id;
        bh=xjN4Kf9rPt8kJYJXKLDkDkK6Uk=;
        b=dGhpcyBpcyBhIGZha2Ugc2lnbmF0dXJl...

3. X-Originating-IP暴露

幾封釣魚郵件無意中通過X-Originating-IP標頭暴露了其真實來源,揭示了與東歐和東南亞已知網路犯罪基礎設施的連接。

對加密貨幣社群的影響

Big Whale通訊以其深入的加密貨幣市場分析而聞名,擁有超過10萬名訂閱者,已成為網路犯罪分子有吸引力的冒充目標。這次釣魚活動特別針對:

  • 高淨值個人:持有大量Bitcoin和Ethereum頭寸的加密貨幣巨鯨
  • DeFi協議用戶:針對錢包連接和助記詞收集
  • 機構投資者:具有交易所API訪問權限的企業電子郵件帳戶
  • 通訊訂閱者:利用對Big Whale品牌的信任

受害者報告收到完美模仿The Big Whale設計美學的郵件,包括其標誌性的海軍藍配色方案和簡約的法式字體。這些郵件通常包含與「獨家投資機會」或加密貨幣投資組合「安全更新」相關的緊急行動呼籲。

防禦高級電子郵件欺騙

這次活動的複雜性突顯了組織在實施電子郵件安全協議方面的關鍵漏洞。以下是必要的防禦機制:

對於組織:

  • 實施嚴格的DMARC政策:從「p=none」轉向「p=quarantine」或「p=reject」
  • 定期SPF記錄審計:確保所有合法發送來源都正確配置
  • DKIM密鑰輪換:實施季度密鑰輪換以最小化破壞影響
  • 標頭分析工具:部署自動化工具檢查電子郵件標頭異常
  • 用戶意識培訓:教育用戶識別複雜的釣魚攻擊

對於個人用戶:

  • 仔細驗證發送者地址:查找細微的域名搶注變化
  • 檢查電子郵件標頭:使用「顯示原始內容」功能檢查驗證結果
  • 永不點擊緊急連結:合法服務很少需要立即行動
  • 使用硬體錢包:永不在線輸入助記詞
  • 到處啟用2FA:即使憑證被破壞也能提供額外保護

入侵指標(IoCs)

安全團隊應監控與此次活動相關的以下指標:

惡意域名(部分列表):

  • thebig-whale[.]io
  • the-bigwhale[.]com
  • bigwhale-newsletter[.]eu
  • thebigwhale-crypto[.]com
  • newsletter-bigwhale[.]org

與C2基礎設施相關的IP地址:

  • 185.156.177[.]234 (摩爾多瓦)
  • 45.142.212[.]100 (荷蘭)
  • 193.42.33[.]210 (俄羅斯)
  • 103.75.119[.]157 (新加坡)

電子郵件主題模式:

  • 「🐋 獨家警報:限時Bitcoin機會」
  • 「緊急:您的加密貨幣投資組合需要安全更新」
  • 「The Big Whale特別報告:立即行動」
  • 「Big Whale訂閱者獨家空投」

持續調查和回應

多個司法管轄區的執法機構正在協調努力追蹤犯罪者。合法的Big Whale通訊已向其訂閱者發出警告,並正在與電子郵件安全提供商合作實施額外的驗證措施。

「我們對犯罪分子利用我們的品牌來針對加密貨幣社群感到憤慨。我們正在實施BIMI(訊息識別品牌指標)並與主要電子郵件提供商合作,確保我們的合法郵件被清楚標記。」

— The Big Whale編輯團隊聲明

調查顯示與先前識別的專門從事加密貨幣盜竊的網路犯罪集團有關聯,可能與Lazarus Group最近在加密貨幣領域的活動有關。然而,由於使用被破壞的基礎設施和虛假旗標行動,歸因仍然具有挑戰性。

對加密貨幣電子郵件安全的影響

這次攻擊活動代表了針對加密貨幣的網路釣魚攻擊的演進,顯示攻擊者正在投入大量資源來繞過現代電子郵件安全措施。加密貨幣行業面臨獨特的挑戰:

  • 高價值目標:加密貨幣持有者對網路犯罪分子來說是有利可圖的目標
  • 不可逆轉的交易:與傳統銀行業不同,加密貨幣交易無法逆轉
  • 匿名性質:難以驗證合法通信
  • 生態系統快速變化:新協議和平台創造了新的攻擊面

該行業必須對電子郵件通信採用零信任方法,特別是對於高價值交易或敏感操作。這包括對關鍵請求實施帶外驗證,並教育用戶了解不斷演變的威脅環境。