Cyberprzestępczość w logistyce. Gdy phishing prowadzi do kradzieży ładunku

2026-05-14

TL;DR

Phishing w logistyce nie zawsze kończy się ransomware. Może skończyć się zniknięciem realnego ładunku. Cyber-enabled cargo crime polega na wykorzystaniu technik znanych z cyberprzestępczości, takich jak phishing, przejęcie poczty, podszycie pod przewoźnika, manipulacja dokumentami i fałszywe dane rejestrowe, aby przekierować transport lub podszyć się pod legalnego uczestnika łańcucha dostaw.

Dla polskich firm transportowych, spedycyjnych, produkcyjnych i e-commerce to bardzo praktyczny temat. Nasz rynek działa na dokumentach, terminach, szybkim kontakcie i wielu partnerach. To dokładnie takie środowisko, w którym przejęta skrzynka może stać się narzędziem do kradzieży fizycznego towaru.

To nie jest tylko problem IT

W klasycznym incydencie phishingowym myślimy o skrzynce, haśle, malware albo danych. W logistyce konsekwencja może być dużo bardziej namacalna. Atakujący nie musi szyfrować systemów. Wystarczy, że podsłucha korespondencję, przejmie konto, zmieni szczegóły zlecenia albo podstawi fałszywego przewoźnika.

W efekcie towar może pojechać w inne miejsce, zostać odebrany przez właściwie wyglądającą firmę albo zniknąć w magazynie kontrolowanym przez przestępców. Cyberatak przestaje być wyłącznie sprawą działu IT. Staje się stratą operacyjną, prawną i finansową.

BEC, czyli business email compromise, to przejęcie lub podszycie się pod firmową komunikację w celu wyłudzenia pieniędzy, danych albo zmiany procesu biznesowego. W logistyce taki atak może dotyczyć nie tylko faktury, ale też trasy, przewoźnika, awizacji, dokumentu przewozowego albo miejsca rozładunku.

Jak wygląda taki łańcuch

Najpierw pojawia się rozpoznanie. Przestępcy sprawdzają firmy, numery rejestrowe, zlecenia, kontakty, ubezpieczenia, dane przewoźników i relacje w łańcuchu dostaw. Potem przychodzi phishing do osób pracujących w dyspozycji, obsłudze klienta, księgowości, spedycji albo sprzedaży.

Jeżeli uda się przejąć konto, napastnik nie musi od razu wysyłać fałszywej faktury. Może obserwować korespondencję. Może zobaczyć awizacje, dokumenty przewozowe, dane załadunku, numery zleceń i relacje między firmami. Dopiero później wprowadza małą zmianę: inny adres, inny kontakt, inny numer pojazdu, inny dokument albo inną instrukcję.

To jest szczególnie groźne, bo wiadomość może pochodzić z prawdziwego konta. Dla odbiorcy wygląda jak normalna zmiana operacyjna. W branży, w której zmiany są codziennością, taki mail nie musi wyglądać podejrzanie.

Polski scenariusz jest bardzo realny

W Polsce podobny atak mógłby dotyczyć firmy spedycyjnej, producenta, hurtowni, magazynu, e-commerce, operatora logistycznego albo przewoźnika drogowego. Przestępcy mogą wykorzystać fałszywe zlecenia transportowe, podmianę numeru rejestracyjnego, fałszywe awizo, zmianę miejsca rozładunku albo prośbę o pilne przekazanie dokumentów.

Szczególnie podatne są procesy, w których dużo ustala się mailowo i telefonicznie, a zmiany są traktowane jako normalna część pracy. Jeśli firma nie ma zasady potwierdzania krytycznych zmian poza e-mailem, przejęta skrzynka może wystarczyć do oszustwa.

W polskich realiach szczególnie wrażliwe są transporty drogowe, podwykonawstwo, giełdy transportowe, szybkie zmiany awizacji i komunikacja między spedycją, magazynem, przewoźnikiem oraz klientem. Tam, gdzie decyzja operacyjna zapada na podstawie maila i telefonu, phishing może zmienić się w realną stratę ładunku.

Co trzeba potwierdzać niezależnie

Najważniejsze zmiany operacyjne nie powinny być akceptowane wyłącznie na podstawie maila. Dotyczy to zmiany przewoźnika, numeru pojazdu, kierowcy, miejsca odbioru, miejsca rozładunku, danych kontaktowych, dokumentów przewozowych, konta bankowego i pilnych instrukcji od partnera.

Weryfikacja powinna iść znanym kanałem. Nie numerem z podejrzanej wiadomości, tylko kontaktem zapisanym wcześniej w CRM, umowie albo wewnętrznej bazie. To proste, ale w praktyce często pomijane, bo logistyka działa pod presją czasu.

Warto też rozdzielić odpowiedzialność za zmianę operacyjną i zatwierdzenie płatności. Jeśli ta sama osoba może przyjąć zmianę danych przewoźnika, zaakceptować nowy numer rachunku i zamknąć sprawę bez dodatkowej kontroli, phishing ma dużo łatwiejsze zadanie.

Co powinno zrobić IT i bezpieczeństwo

Firmy logistyczne często inwestują w systemy TMS, WMS, ERP i kontrolę dostępu, ale nadal wiele krytycznych decyzji przechodzi przez e-mail. Dlatego trzeba monitorować nie tylko malware, ale też nietypową aktywność kont pocztowych: nowe reguły, przekierowania, logowania z nowych lokalizacji, dostęp po godzinach, masowe pobieranie wiadomości i próby ukrywania korespondencji.

Warto też oznaczać wiadomości z zewnątrz, wdrożyć MFA, czyli uwierzytelnianie wieloskładnikowe, szkolić osoby operacyjne i mieć szybki proces zgłaszania podejrzanych zmian. Dla działu transportu bardziej użyteczna może być prosta zasada niż techniczny wykład: jeśli zmienia się trasa, kierowca, konto bankowe albo miejsce rozładunku, nie wystarczy e-mail.

Lekcja dla awareness

To świetny scenariusz do testów phishingowych dla branż produkcyjnych, logistycznych i handlowych. Nie trzeba symulować hasła do Microsoft 365. Można symulować zmianę miejsca rozładunku, fałszywą awizację, nowy dokument, pilne zlecenie albo prośbę o potwierdzenie danych przewoźnika.

W takim teście najważniejsze nie jest samo kliknięcie. Liczy się, czy pracownik zatrzymał zmianę operacyjną, zweryfikował ją znanym kanałem i zgłosił wątpliwość. To właśnie odróżnia program awareness od zwykłej gry w łapanie kliknięć.

Więcej o takim podejściu piszemy w materiale Testy phishingowe dla firm. Jak sprawdzić realną odporność pracowników, a nie tylko kliknięcia.

Wniosek

Cyber-enabled cargo crime pokazuje, że phishing może wyjść z ekranu i zamienić się w fizyczną stratę. Przejęta skrzynka, fałszywy dokument i jedna nieweryfikowana zmiana mogą wystarczyć, żeby legalny proces logistyczny został użyty przeciw firmie.

Dla firm w Polsce najważniejsza zasada jest praktyczna: każda krytyczna zmiana w transporcie musi mieć drugi kanał weryfikacji. E-mail jest dobry do komunikacji, ale nie może być jedynym dowodem prawdy w łańcuchu dostaw.