Phishing w logistyce i kradzież ładunku

TL;DR

Phishing w logistyce może skończyć się kradzieżą fizycznego ładunku, a nie tylko przejęciem hasła albo incydentem w skrzynce pocztowej. Cyber-enabled cargo crime polega na wykorzystaniu technik znanych z cyberprzestępczości do oszustw transportowych: przejęcia konta, podszycia się pod brokera, spedytora lub przewoźnika, manipulacji dokumentami, podstawienia fałszywej firmy i przekierowania realnego towaru.

W ostrzeżeniu FBI IC3 z 2026 roku opisano schemat, w którym atakujący używają phishingu, fałszywych adresów URL, przejętych kont przewoźników i narzędzi zdalnego zarządzania, aby przejmować dostęp do systemów transportowych, publikować fałszywe zlecenia, odpowiadać na prawdziwe ładunki i zmieniać trasę dostawy. Proofpoint opisał podobne kampanie, w których cyberprzestępcy instalowali narzędzia RMM, czyli remote monitoring and management, aby uzyskać zdalny dostęp do środowisk firm transportowych i wykorzystywać ten dostęp do kradzieży frachtu.

Dla polskich firm z sektora TSL, czyli transportu, spedycji i logistyki, to bardzo praktyczne ryzyko. Nasz rynek działa na zleceniach, awizacjach, dokumentach przewozowych, mailach, telefonach, giełdach transportowych i szybkich zmianach operacyjnych. Jeżeli krytyczna zmiana w transporcie jest akceptowana tylko dlatego, że przyszła z wiarygodnie wyglądającego maila, phishing może wyjść poza ekran i zamienić się w stratę towaru, pieniędzy oraz reputacji.

To nie jest tylko problem IT

W klasycznym obrazie phishingu skutkiem jest podanie hasła, zainstalowanie malware, przejęcie skrzynki albo wyciek danych. W logistyce ten sam początek może prowadzić do zupełnie innego finału. Atakujący nie musi szyfrować systemów ani zatrzymywać pracy magazynu. Wystarczy, że zdobędzie dostęp do komunikacji, zrozumie proces i podmieni jeden element: przewoźnika, numer pojazdu, miejsce rozładunku, dokument, kontakt albo instrukcję dla kierowcy.

To zmienia sposób patrzenia na bezpieczeństwo transportu. Skrzynka mailowa dyspozytora, konto na giełdzie transportowej, system TMS, czyli transport management system, oraz zwykły załącznik z potwierdzeniem zlecenia stają się elementami ochrony ładunku. Przejęcie konta nie jest już wyłącznie zdarzeniem technicznym. Może być początkiem kradzieży palety elektroniki, partii leków, produktów spożywczych, alkoholu, części samochodowych albo towaru dla e-commerce.

BEC, czyli business email compromise, oznacza przejęcie lub podszycie się pod komunikację biznesową w celu zmiany procesu, wyłudzenia pieniędzy, danych albo decyzji. W logistyce BEC może dotyczyć nie tylko numeru rachunku na fakturze. Może dotyczyć trasy, awizacji, numeru rejestracyjnego, kierowcy, magazynu, przewoźnika, brokera, instrukcji odbioru albo potwierdzenia dostawy.

Dlatego cyber-enabled cargo crime powinien interesować nie tylko administratorów poczty i SOC, czyli security operations center. To temat dla spedycji, transportu, magazynu, zakupów, sprzedaży, finansów, compliance, zarządu i osób odpowiedzialnych za ubezpieczenia. W tym scenariuszu błąd cyfrowy bardzo szybko staje się stratą operacyjną.

Jak wygląda łańcuch takiego ataku

Atak zaczyna się od rozpoznania. Przestępcy szukają informacji o firmach transportowych, brokerach, przewoźnikach, zleceniach, klientach, flotach, kierowcach, ubezpieczeniach, numerach rejestrowych, domenach, kontaktach i wykorzystywanych platformach. W wielu przypadkach część tych danych jest publiczna albo dostępna w branżowej komunikacji.

Następnie pojawia się phishing po filtrze poczty albo wiadomość z linkiem do rzekomego dokumentu. Może to być carrier broker agreement, rate confirmation, reklamacja, informacja o negatywnej ocenie, nowe zlecenie, pakiet dokumentów, plik PDF, formularz onboardingowy albo link do giełdy transportowej. Jeżeli użytkownik kliknie i uruchomi plik, atakujący może zdobyć hasło, sesję albo zainstalować narzędzie zdalnego dostępu.

RMM, czyli remote monitoring and management, to legalne oprogramowanie do zdalnego zarządzania urządzeniami. W rękach IT jest przydatnym narzędziem obsługi. W rękach przestępcy może dać dostęp do komputera dyspozytora, brokera, spedytora albo osoby obsługującej zlecenia. Taki dostęp jest szczególnie niebezpieczny, bo narzędzia RMM nie zawsze wyglądają jak klasyczne malware. Mogą być podpisane, znane i używane legalnie w wielu organizacjach.

Po uzyskaniu dostępu atakujący nie musi działać natychmiast. Może obserwować korespondencję, historię zleceń, kontakty, dokumenty przewozowe, load boardy, zasady współpracy, stawki, numery pojazdów, trasy i relacje między firmami. Dopiero później wprowadza zmianę, która w normalnym rytmie pracy może wyglądać jak zwykła korekta: inny adres, inny numer rejestracyjny, inny kierowca, inna godzina odbioru, nowy dokument albo prośba o pilne potwierdzenie.

Najgroźniejsze jest to, że wiadomość może pochodzić z prawdziwego konta. Dla odbiorcy wygląda jak naturalna część trwającej rozmowy. W branży, w której zmiany są codziennością, taki atak nie musi wyglądać podejrzanie.

Fałszywy przewoźnik i przejęta tożsamość

Cyber-enabled cargo crime często łączy przejęcie cyfrowego dostępu z klasycznym oszustwem operacyjnym. Przestępcy mogą podszyć się pod znanego przewoźnika, sklonować domenę, użyć podobnego adresu e-mail, sfałszować dokumenty, przejąć konto na platformie transportowej albo wykorzystać dane legalnej firmy bez jej wiedzy.

Dla nadawcy albo spedytora wszystko może wyglądać poprawnie. Firma istnieje, dokumenty wyglądają znajomo, numer VAT pasuje, osoba po drugiej stronie odpowiada szybko, a stawka jest atrakcyjna. Problem zaczyna się wtedy, gdy weryfikacja kończy się na mailu i dokumentach przesłanych przez tę samą osobę, która chce przejąć zlecenie.

FBI opisało również scenariusze, w których przestępcy wykorzystują load boardy, czyli platformy z ładunkami dla przewoźników. Przejęte lub fałszywe konta mogą służyć do publikowania zleceń, pozyskiwania odpowiedzi od legalnych firm, wysyłania złośliwych linków i dalszego przejmowania dostępu. W innym wariancie napastnicy podszywają się pod legalnego przewoźnika, przyjmują prawdziwy ładunek, a następnie przekierowują go do miejsca kontrolowanego przez grupę przestępczą.

W Europie podobne ryzyko dotyczy giełd transportowych, podwykonawstwa, szybkich zleceń, nowych kontrahentów i transportów wysokowartościowych. W Polsce szczególnie podatne są procesy, w których presja czasu, sezonowość, braki przewoźników albo atrakcyjna stawka obniżają jakość weryfikacji.

Polski scenariusz: TSL, eCMR i szybkie decyzje

Polski sektor TSL działa w środowisku dużej liczby podmiotów, podwykonawców, kierowców, magazynów, centrów dystrybucyjnych, giełd transportowych i dokumentów. W praktyce wiele krytycznych ustaleń nadal przechodzi przez e-mail, telefon i załączniki, nawet jeśli firma korzysta z TMS, WMS, ERP, platform przewozowych albo elektronicznego obiegu dokumentów.

Fałszywy scenariusz może dotyczyć producenta, hurtowni, operatora logistycznego, firmy spedycyjnej, przewoźnika, centrum magazynowego albo e-commerce. Atakujący może wysłać fałszywe zlecenie transportowe, podszyć się pod znanego klienta, zmienić miejsce rozładunku, poprosić o pilne dokumenty, zażądać aktualizacji danych przewoźnika albo podstawić fałszywe awizo.

W polskich realiach bardzo ważne są dokumenty: list przewozowy, CMR, eCMR, potwierdzenie odbioru, awizacja, numer zlecenia, dokument magazynowy, dane pojazdu, dane kierowcy i potwierdzenie ubezpieczenia. Jeżeli firma traktuje dokument jako dowód prawdy, a nie jako element wymagający niezależnej weryfikacji, atakujący może wykorzystać dobrą znajomość branżowego języka.

Oszustwo nie musi być perfekcyjne technicznie. Wystarczy, że pojawi się w odpowiednim momencie: przed załadunkiem, przy zmianie okna czasowego, przy zamknięciu dnia, w okresie wysokiego wolumenu, w piątek po południu albo wtedy, gdy magazyn czeka na decyzję, a kierowca jest już w trasie. Presja operacyjna jest dla przestępcy równie ważna jak phishingowy link.

Co trzeba potwierdzać niezależnie

Krytyczne zmiany w transporcie nie powinny być akceptowane wyłącznie na podstawie e-maila. Dotyczy to zmiany przewoźnika, podwykonawcy, numeru rejestracyjnego, kierowcy, miejsca załadunku, miejsca rozładunku, konta bankowego, numeru telefonu, dokumentów przewozowych, warunków płatności i instrukcji wydania towaru.

Weryfikacja powinna odbywać się znanym kanałem. Nie numerem telefonu z podejrzanej wiadomości, nie adresem z nowego podpisu i nie linkiem z maila. Punktem odniesienia powinien być kontakt zapisany wcześniej w umowie, CRM, systemie TMS, bazie dostawców, zweryfikowanym profilu platformy lub wewnętrznej bazie kontrahentów.

W praktyce warto oddzielić decyzje operacyjne od finansowych i od wydania towaru. Osoba przyjmująca zmianę trasy nie powinna samodzielnie zatwierdzać nowego rachunku bankowego. Osoba obsługująca awizację nie powinna bez dodatkowej kontroli akceptować zmiany przewoźnika przy wysokowartościowym ładunku. Magazyn nie powinien wydawać towaru tylko dlatego, że kierowca pokazuje dokument otrzymany chwilę wcześniej mailem.

Dobrze działa prosta zasada stop dla nietypowej zmiany. Jeśli zmienia się przewoźnik, kierowca, pojazd, miejsce rozładunku, dokument, konto bankowe lub kanał kontaktu, proces zatrzymuje się do niezależnego potwierdzenia. To nie musi być skomplikowana procedura. Musi być jednak znana ludziom, wspierana przez kierownictwo i stosowana także wtedy, gdy operacja jest pilna.

Co powinno zrobić IT, SOC i bezpieczeństwo

W firmach logistycznych bezpieczeństwo poczty i tożsamości jest częścią ochrony ładunku. Zespół IT lub SOC powinien monitorować nietypową aktywność kont: nowe reguły skrzynki, przekierowania, ukrywanie wiadomości, logowania z nowych lokalizacji, dostęp po godzinach, masowe pobieranie poczty, nowe urządzenia, nietypowe sesje oraz próby logowania do systemów transportowych.

W środowiskach Microsoft 365, Google Workspace i systemach SaaS trzeba zwracać uwagę na przejęte sesje, zgody aplikacji OAuth, nowe metody MFA, nietypowe urządzenia i reguły pocztowe ustawione przez atakującego. MFA, czyli wieloskładnikowe uwierzytelnianie, jest potrzebne, ale nie kończy problemu. Przy przejęciu sesji albo socjotechnice nakierowanej na kod jednorazowy nadal potrzebna jest analiza logowań i gotowość do unieważnienia sesji.

Ważny jest również nadzór nad RMM. Firma powinna wiedzieć, jakie narzędzia zdalnego dostępu są dozwolone, kto może je instalować, jak są monitorowane i jakie połączenia są blokowane. Instalacja ScreenConnect, AnyDesk, TeamViewer, SimpleHelp, LogMeIn, Fleetdeck albo innego narzędzia spoza zatwierdzonej listy powinna być traktowana jako sygnał wysokiego ryzyka, szczególnie na komputerach osób obsługujących zlecenia, dokumenty i kontakty z przewoźnikami.

Zespół bezpieczeństwa powinien też współpracować z operacjami. Sama blokada domeny nie rozwiąże problemu, jeśli magazyn nadal może wydać towar na podstawie nieweryfikowanej zmiany. Sama procedura operacyjna nie wystarczy, jeśli przejęte konto brokera pozostanie aktywne przez kilka dni. W tym scenariuszu cyber i logistyka muszą działać razem.

Co zrobić, jeśli to już się stało

Jeżeli pracownik kliknął link, ale nie podał danych i nie uruchomił pliku, należy zgłosić zdarzenie do IT lub SOC i przekazać oryginalną wiadomość wraz z nagłówkami. Nie warto usuwać maila przed analizą. Zespół bezpieczeństwa powinien sprawdzić, czy podobna wiadomość trafiła do innych osób, czy link został otwarty, czy domena jest już znana i czy trzeba zablokować adres lub całą kampanię.

Jeżeli podano login, hasło, kod MFA albo zatwierdzono logowanie, należy potraktować zdarzenie jako możliwe przejęcie konta. Potrzebna jest zmiana hasła, unieważnienie sesji, sprawdzenie logów, reguł pocztowych, przekierowań, urządzeń, aplikacji i aktywności w systemach transportowych. Trzeba też sprawdzić, czy z konta nie wysłano wiadomości do klientów, przewoźników lub partnerów.

Jeżeli uruchomiono plik albo zainstalowano narzędzie RMM, urządzenie powinno zostać odizolowane zgodnie z procedurą. Nie należy samodzielnie czyścić śladów, bo logi, pliki, procesy i połączenia sieciowe mogą być potrzebne do ustalenia, co atakujący zrobił. W tym wariancie trzeba sprawdzić nie tylko komputer, ale też konta, systemy TMS, pocztę, historię zleceń, dokumenty i komunikację z partnerami.

Jeżeli zmieniono dane transportu albo wydano ładunek, reakcja musi wyjść poza IT. Trzeba natychmiast uruchomić procedurę operacyjną: kontakt z magazynem, przewoźnikiem, klientem, brokerem, ubezpieczycielem, ochroną, policją i osobami odpowiedzialnymi za trasę. Należy zabezpieczyć wiadomości, dokumenty, numery telefonów, dane pojazdu, dane kierowcy, GPS, zdjęcia, monitoring, potwierdzenia wydania i wszystkie wersje instrukcji.

Jeżeli doszło do próby zmiany rachunku bankowego, trzeba powiadomić finanse, zablokować płatność, zweryfikować kontrahenta niezależnym kanałem i sprawdzić, czy podobna zmiana nie pojawiła się w innych wątkach. W BEC atakujący często prowadzą kilka równoległych prób, a jedna wykryta wiadomość może być tylko fragmentem większej operacji.

Jak ćwiczyć taki scenariusz w awareness

Scenariusz cargo crime jest dobrym materiałem do ćwiczeń, bo nie kończy się na pytaniu, kto kliknął. Sprawdza, czy pracownik potrafi zatrzymać zmianę operacyjną, zweryfikować ją poza e-mailem i zgłosić wątpliwość zanim towar zostanie wydany, przekierowany albo opłacony.

W symulacji można wykorzystać fałszywą awizację, zmianę miejsca rozładunku, nowy dokument przewozowy, rzekomą reklamację, prośbę o pobranie pakietu przewoźnika, informację o negatywnej ocenie na platformie albo mail od kontrahenta z minimalnie zmienionej domeny. Ważne, aby scenariusz był realistyczny dla danej organizacji. Inaczej będzie wyglądał dla producenta żywności, inaczej dla operatora 3PL, a inaczej dla spedycji obsługującej podwykonawców.

W testach phishingowych dla firm warto mierzyć kilka zachowań: kliknięcie, pobranie pliku, uruchomienie załącznika, podanie danych, przekazanie wiadomości dalej, zgłoszenie do IT, kontakt z przełożonym, zatrzymanie zmiany i użycie właściwego kanału weryfikacji. Dla logistyki szczególnie ważne jest ostatnie zachowanie. Pracownik może kliknąć, ale jeśli zatrzyma proces wydania towaru i zgłosi problem, firma nadal ma szansę przerwać atak.

Takie ćwiczenia powinny obejmować także helpdesk, SOC i operacje. Jeżeli użytkownik zgłasza podejrzany mail, organizacja musi wiedzieć, co dalej: kto analizuje link, kto blokuje domenę, kto sprawdza konto, kto informuje magazyn, kto kontaktuje się z kontrahentem i kto decyduje o wstrzymaniu transportu. Awareness bez procesu reakcji daje tylko połowę odporności.

Co zmienić w procesach transportowych

Najbardziej skuteczna obrona zaczyna się od prostych reguł operacyjnych. Krytyczne zmiany powinny mieć drugi kanał potwierdzenia, szczególnie przy wysokowartościowym ładunku, nowym kontrahencie, zmianie miejsca rozładunku, podwykonawcy albo konta bankowego. Weryfikacja musi korzystać z danych zapisanych wcześniej, a nie z danych podanych w bieżącej wiadomości.

Warto utrzymywać listę zatwierdzonych kontaktów, domen, numerów telefonów, przewoźników i osób uprawnionych do zmian. Dla nowych kontrahentów przydatna jest kontrola domeny, wieku firmy, danych rejestrowych, ubezpieczenia, historii współpracy, adresu, numeru VAT, numerów EORI lub innych identyfikatorów branżowych. Sama kopia dokumentu przesłana mailem nie powinna kończyć weryfikacji.

Firmy powinny też rozważyć techniczne wzmocnienie poczty i tożsamości: MFA odporne na phishing tam, gdzie to możliwe, polityki Conditional Access, ochronę przed podobnymi domenami, DMARC, SPF i DKIM, monitoring logowań, kontrolę OAuth, ograniczenia instalacji RMM i centralne usuwanie złośliwych wiadomości z poczty. DMARC, SPF i DKIM to mechanizmy pomagające ograniczać podszywanie się pod domeny, ale nie zastąpią weryfikacji procesu, gdy wiadomość pochodzi z realnie przejętego konta.

Ostatni element to dowody. W przypadku oszustwa transportowego znaczenie mają e-maile, nagłówki, logi, nagrania, zdjęcia pojazdu, dokumenty, numery rejestracyjne, dane kierowcy, GPS, potwierdzenia, historia zmian w systemie i korespondencja z platformy. Jeżeli firma nie zbiera tych danych w normalnym procesie, po incydencie będzie próbowała odtworzyć zdarzenia z pamięci ludzi, a to zwykle działa na korzyść przestępców.

Wniosek

Cyber-enabled cargo crime pokazuje, że phishing może mieć bardzo fizyczny skutek. Jedna przejęta skrzynka, jeden fałszywy link, jedno narzędzie zdalnego dostępu albo jedna nieweryfikowana zmiana w dokumentach może wystarczyć, aby legalny proces logistyczny został użyty przeciw firmie.

Praktyczna zasada dla TSL jest konkretna: e-mail może rozpocząć rozmowę, ale nie może samodzielnie potwierdzać krytycznej zmiany w transporcie. Zmiana przewoźnika, kierowcy, pojazdu, trasy, miejsca rozładunku, rachunku bankowego albo dokumentu musi przejść przez niezależny kanał weryfikacji. W logistyce odporność na phishing mierzy się nie tylko tym, czy ktoś kliknął. Mierzy się tym, czy organizacja zdążyła zatrzymać ładunek, zanim oszustwo opuściło ekran i wjechało na drogę.