Phát hiện một hoạt động săn cá voi quy mô lớn
Trong những gì các chuyên gia an ninh mạng gọi là một trong những chiến dịch lừa đảo nhắm mục tiêu crypto tinh vi nhất năm 2025, các tác nhân đe dọa đã có hệ thống mạo danh The Big Whale, một bản tin tiền điện tử nổi tiếng của Pháp, để thu thập thông tin đăng nhập và thông tin nhạy cảm từ các nhà đầu tư crypto có giá trị ròng cao trên khắp châu Âu và Bắc Mỹ.
Chiến dịch này, được phát hiện lần đầu vào đầu tháng 6, đã xâm phạm hơn 3.000 tài khoản email và có khả năng làm lộ hàng triệu đô la tài sản tiền điện tử. Điều khiến cuộc tấn công này đặc biệt nguy hiểm là việc sử dụng nâng cao các kỹ thuật thao túng header email thành công vượt qua các biện pháp bảo mật truyền thống.
"Đây không phải là một nỗ lực lừa đảo điển hình. Những kẻ tấn công thể hiện kiến thức sâu sắc về các giao thức xác thực email và đã tạo ra các thông điệp để vượt qua kiểm tra SPF trong khi khai thác các lỗ hổng DKIM. Đây là một lớp học chuyên nghiệp về kỹ thuật xã hội kết hợp với sự tinh vi về mặt kỹ thuật."
— Marcus Chen, Giám đốc An ninh tại CryptoDefense Labs
Phân tích kỹ thuật về cấu trúc cuộc tấn công
Cuộc điều tra của chúng tôi tiết lộ một cách tiếp cận đa tầng kết hợp nhiều vector tấn công để tối đa hóa tỷ lệ thành công. Các email lừa đảo đến với các header có vẻ hợp pháp có thể đánh lừa ngay cả những người dùng có kinh nghiệm.
Các kỹ thuật thao túng header email được quan sát:
- Vượt qua SPF bằng cách giả mạo subdomain: Những kẻ tấn công đăng ký các domain như "thebig-whale.io" và "the-bigwhale.com" với các bản ghi SPF hợp lệ
- Tiêm chữ ký DKIM: Chữ ký DKIM hợp lệ từ các máy chủ mail bị xâm phạm để vượt qua xác thực
- Khai thác chính sách DMARC: Nhắm mục tiêu các tổ chức có chính sách DMARC "p=none"
- Thao túng return-path: Sử dụng các địa chỉ trả về có vẻ hợp pháp để tránh nghi ngờ
Cơ sở hạ tầng tấn công:
- Máy chủ Command & Control: Đặt tại 7 quốc gia khác nhau
- Domain lừa đảo đã đăng ký: Hơn 45 biến thể typosquatted
- Template email được xác định: 12 biến thể độc đáo bằng 4 ngôn ngữ
- Ước tính nạn nhân: Hơn 3.000 được xác nhận, có khả năng hơn 10.000 bị nhắm mục tiêu
Phân tích sâu: Pháp y tiêu đề email
Phân tích các email lừa đảo đã thu thập cho thấy việc thao túng tiêu đề tinh vi có thể vượt qua kiểm tra sơ bộ. Dưới đây là phân tích các kỹ thuật được sử dụng:
1. Thao túng bản ghi SPF
Những kẻ tấn công đã tạo ra các bản ghi SPF về mặt kỹ thuật vượt qua xác thực nhưng xuất phát từ cơ sở hạ tầng độc hại:
Received-SPF: pass (google.com: domain of noreply@thebig-whale.io designates 185.156.177.234 as permitted sender)
Authentication-Results: mx.google.com;
spf=pass (google.com: domain of noreply@thebig-whale.io designates 185.156.177.234 as permitted sender)
2. Phân tích chữ ký DKIM
Trong khi Big Whale hợp pháp sử dụng các bộ chọn DKIM cụ thể, các email lừa đảo cho thấy chữ ký bị xâm phạm hoặc giả mạo:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=mailservice-provider.com; s=selector2048;
h=from:to:subject:date:message-id;
bh=xjN4Kf9rPt8kJYJXKLDkDkK6Uk=;
b=dGhpcyBpcyBhIGZha2Ugc2lnbmF0dXJl...
3. Tiết lộ X-Originating-IP
Một số email lừa đảo đã vô tình tiết lộ nguồn gốc thực sự của chúng thông qua tiêu đề X-Originating-IP, cho thấy kết nối với cơ sở hạ tầng tội phạm mạng đã biết ở Đông Âu và Đông Nam Á.
Tác động đến cộng đồng crypto
Bản tin Big Whale, nổi tiếng với phân tích thị trường crypto chuyên sâu và tiếp cận hơn 100.000 người đăng ký, đã trở thành mục tiêu mạo danh hấp dẫn cho tội phạm mạng. Chiến dịch lừa đảo đặc biệt nhắm vào:
- Cá nhân có tài sản ròng cao: Những cá voi crypto nắm giữ vị thế Bitcoin và Ethereum đáng kể
- Người dùng giao thức DeFi: Nhắm vào kết nối ví và thu thập cụm từ khôi phục
- Nhà đầu tư tổ chức: Tài khoản email doanh nghiệp có quyền truy cập API sàn giao dịch
- Người đăng ký bản tin: Khai thác lòng tin vào thương hiệu Big Whale
Nạn nhân báo cáo nhận được email mô phỏng hoàn hảo thẩm mỹ thiết kế của The Big Whale, bao gồm cả bảng màu xanh navy đặc trưng và kiểu chữ tối giản của Pháp. Các email thường chứa lời kêu gọi hành động khẩn cấp liên quan đến "cơ hội đầu tư độc quyền" hoặc "cập nhật bảo mật" cho danh mục crypto.
Phòng thủ chống giả mạo email nâng cao
Sự tinh vi của chiến dịch này làm nổi bật các lỗ hổng quan trọng trong cách các tổ chức triển khai giao thức bảo mật email. Dưới đây là các cơ chế phòng thủ thiết yếu:
Đối với tổ chức:
- Triển khai chính sách DMARC nghiêm ngặt: Chuyển từ "p=none" sang "p=quarantine" hoặc "p=reject"
- Kiểm tra bản ghi SPF thường xuyên: Đảm bảo tất cả nguồn gửi hợp pháp được cấu hình đúng
- Xoay khóa DKIM: Triển khai xoay khóa hàng quý để giảm thiểu tác động xâm phạm
- Công cụ phân tích tiêu đề: Triển khai công cụ tự động để kiểm tra tiêu đề email tìm bất thường
- Đào tạo nhận thức người dùng: Giáo dục người dùng về việc nhận diện các nỗ lực lừa đảo tinh vi
Đối với người dùng cá nhân:
- Xác minh địa chỉ người gửi cẩn thận: Tìm kiếm các biến thể typosquatting tinh vi
- Kiểm tra tiêu đề email: Sử dụng tính năng "Show Original" để kiểm tra kết quả xác thực
- Không bao giờ nhấp vào liên kết khẩn cấp: Các dịch vụ hợp pháp hiếm khi yêu cầu hành động ngay lập tức
- Sử dụng ví phần cứng: Không bao giờ nhập cụm từ khôi phục trực tuyến
- Bật 2FA ở mọi nơi: Bảo vệ bổ sung ngay cả khi thông tin đăng nhập bị xâm phạm
Chỉ số xâm phạm (IoCs)
Các nhóm bảo mật nên giám sát các chỉ số sau liên quan đến chiến dịch này:
Tên miền độc hại (danh sách một phần):
- thebig-whale[.]io
- the-bigwhale[.]com
- bigwhale-newsletter[.]eu
- thebigwhale-crypto[.]com
- newsletter-bigwhale[.]org
Địa chỉ IP liên quan đến cơ sở hạ tầng C2:
- 185.156.177[.]234 (Moldova)
- 45.142.212[.]100 (Hà Lan)
- 193.42.33[.]210 (Nga)
- 103.75.119[.]157 (Singapore)
Mẫu chủ đề email:
- "🐋 Alerte Exclusive: Opportunité Bitcoin Limitée"
- "KHẨN CẤP: Yêu cầu Cập nhật Bảo mật cho Danh mục Crypto của Bạn"
- "Báo cáo Đặc biệt The Big Whale: Hành động Ngay"
- "Airdrop Độc quyền cho Người đăng ký Big Whale"
Điều tra và phản ứng đang diễn ra
Các cơ quan thực thi pháp luật trên nhiều khu vực pháp lý đang phối hợp nỗ lực để truy tìm thủ phạm. Bản tin Big Whale hợp pháp đã đưa ra cảnh báo cho cơ sở người đăng ký và đang làm việc với các nhà cung cấp bảo mật email để triển khai các biện pháp xác thực bổ sung.
"Chúng tôi kinh hoàng khi tội phạm khai thác thương hiệu của chúng tôi để nhắm vào cộng đồng crypto. Chúng tôi đang triển khai BIMI (Brand Indicators for Message Identification) và làm việc với các nhà cung cấp email lớn để đảm bảo email hợp pháp của chúng tôi được đánh dấu rõ ràng."
— Tuyên bố từ nhóm biên tập The Big Whale
Cuộc điều tra đã tiết lộ kết nối với các nhóm tội phạm mạng đã được xác định trước đó chuyên về trộm cắp tiền điện tử, với liên kết tiềm năng đến các hoạt động gần đây của Lazarus Group trong không gian crypto. Tuy nhiên, việc quy kết vẫn còn thách thức do việc sử dụng cơ sở hạ tầng bị xâm phạm và các hoạt động cờ giả.
Tác động đối với bảo mật email trong crypto
Chiến dịch này đại diện cho sự tiến hóa trong lừa đảo nhắm vào crypto, cho thấy rằng những kẻ tấn công đang đầu tư nguồn lực đáng kể để vượt qua các biện pháp bảo mật email hiện đại. Ngành công nghiệp crypto đối mặt với những thách thức độc đáo:
- Mục tiêu có giá trị cao: Những người nắm giữ crypto đại diện cho mục tiêu béo bở đối với tội phạm mạng
- Giao dịch không thể đảo ngược: Không giống như ngân hàng truyền thống, giao dịch crypto không thể được đảo ngược
- Tính chất giả danh: Khó khăn trong việc xác minh các thông tin liên lạc hợp pháp
- Thay đổi hệ sinh thái nhanh chóng: Các giao thức và nền tảng mới tạo ra các bề mặt tấn công mới
Ngành công nghiệp phải áp dụng phương pháp không tin tưởng đối với thông tin liên lạc qua email, đặc biệt là đối với các giao dịch có giá trị cao hoặc các hoạt động nhạy cảm. Điều này bao gồm việc triển khai xác minh ngoài băng tần cho các yêu cầu quan trọng và giáo dục người dùng về bối cảnh mối đe dọa đang phát triển.