Logistyka pod ostrzałem: phishing Diesel Vortex w UE i USA

2026-02-25

Phishing w logistyce działa wyjątkowo skutecznie, bo uderza w codzienny rytm operacji: szybkie potwierdzenia, presja czasu, wiele stron trzecich i ciągłe logowania do platform. Kiedy ktoś trafi w moment, w którym naprawdę czekasz na zlecenie, dokumenty lub potwierdzenie stawki, rozsądek przegrywa z nawykiem.

Na przełomie 2025 i 2026 roku głośno zrobiło się o kampanii określanej jako Diesel Vortex, prowadzonej przeciw firmom transportowym, spedycyjnym i operatorom logistycznym w USA oraz Europie. W skrócie: atakujący zbudowali zestaw domen i perfekcyjnie sklonowanych stron logowania, aby kraść poświadczenia do platform i usług krytycznych dla branży. Użyto m.in. 52 domeny użyte w kampanii oraz 1 649 unikalnych danych dostępowych przejętych w trakcie działań od września 2025 do lutego 2026. Zobacz opis i kontekst w materiale BleepingComputer.

Co się wydarzyło i kogo dotknęło

Skala i czas trwania kampanii, domeny, wykradzione dane

W praktyce celem nie jest przypadkowy użytkownik, tylko konkretne role i procesy: spedytor, dyspozytor, osoba od rozliczeń, ktoś kto akceptuje zlecenia, wgrywa dokumenty, potwierdza dostawy albo komunikuje się z siecią podwykonawców. To typowy wzorzec ataku na łańcuch dostaw: jeśli przejmiesz konto w miejscu, gdzie krzyżują się relacje i dane, możesz przesunąć dalej oszustwo bez uruchamiania alarmów w systemach.

Warto od razu ustawić właściwą perspektywę. Tu nie chodzi wyłącznie o utratę hasła. Chodzi o utratę kontroli nad komunikacją i zaufaniem w procesie logistycznym. A to jest paliwo dla wyłudzeń email, manipulacji danymi operacyjnymi.

Jak działał atak krok po kroku

Przynęty dopasowane do procesów TSL

Dobre kampanie w TSL (transport, spedycja, logistyka) nie wyglądają jak klasyczny mail o paczce. Najczęstsze przynęty, mieszczą się w kilku kategoriach:

zlecenie przewozu lub jego aktualizacja, zmiana okna czasowego, zmiana danych kierowcy
potwierdzenie stawki, dopłata, korekta faktury, rozbieżność w rozliczeniu
prośba o weryfikację konta lub ponowne logowanie do platformy
dokumenty przewozowe, specyfikacja ładunku, potwierdzenie dostawy

Kluczowy trik polega na tym, że treść maila nie musi być perfekcyjna językowo. Wystarczy, że pasuje do kontekstu operacyjnego, a link prowadzi do miejsca, które wygląda znajomo. W logistycznej rutynie ludzie klikają, bo pracują szybko i na wielu systemach jednocześnie.

Klonowane portale logowania i przechwytywanie MFA

Ataki tego typu coraz częściej działają na dwóch poziomach. Po pierwsze klonowana jest strona logowania tak, aby wyglądała identycznie jak prawdziwa. Po drugie atakujący, próbują przechwycić nie tylko login i hasło, ale też jednorazowy kod z uwierzytelnienia wieloskładnikowego, jeśli firma go używa.

Z punktu widzenia użytkownika wygląda to banalnie: logujesz się, wpisujesz kod, a potem coś nie działa albo strona przekierowuje w inne miejsce. Z punktu widzenia atakującego to okno kilku sekund, w którym może zalogować się na prawdziwą usługę i podpiąć się pod sesję.

Częste schematy phishing w logistyce - diagram pokazujący różne metody ataków na pracowników sektora transportu i spedycji, w tym fałszywe wiadomości e-mail, klonowane portale logowania oraz spoofing nadawcy

Po co kradzione loginy w logistyce i spedycji

Od dostępu do platform do oszustw

Dane dostępowe są przepustką do dalszych kroków. W logistyce i spedycji najgroźniejsze konsekwencje zwykle nie mają formy spektakularnego włamania. Częściej mają formę cichej manipulacji:

przejęcie korespondencji i podszywanie się pod pracownika lub kontrahenta
zmiana danych do płatności, wysłanie faktury na nowe konto
przekierowanie komunikacji o ładunku, zmiana miejsca rozładunku, podmiana numerów kontaktowych
budowanie wiarygodności do kolejnych wyłudzeń w transporcie email

Jeśli ktoś kontroluje skrzynkę lub konto na platformie, może pisać w stylu firmy, używać prawidłowych numerów zleceń i realnych danych operacyjnych. Dla ofiary wygląda to jak normalna praca. Właśnie dlatego phishing w spedycji jest tak groźny: przestępca nie musi łamać systemów, wystarczy że wykorzysta istniejące zaufanie.

Sygnały ostrzegawcze dla pracowników

Jak rozpoznać phishing w logistyce i spedycji

W pracy operacyjnej szukaj sygnałów, które łamią rutynę. Nie chodzi o pojedynczą literówkę, tylko o zestaw drobnych odstępstw:

mail wymusza pośpiech, grozi blokadą konta albo utratą zlecenia
link prowadzi do logowania, mimo że zwykle logujesz się z zakładki w przeglądarce
prośba dotyczy danych, których normalnie nikt nie żąda, albo zmienia stały proces

Podstawy obrony: Zrozumienie mechanizmów phishingu pomaga rozpoznać manipulację niezależnie od branży.

nadawca jest niby znany, ale adres nie zgadza się z tym, co masz w historii korespondencji

Fałszywa strona logowania platformy logistycznej

Najprostsza zasada: do platform logujesz się z własnej zakładki, nie z linku w mailu. Jeśli już musisz wejść z maila, zatrzymaj się na pięć sekund i sprawdź adres w pasku przeglądarki.

Warto też korzystać z menedżera haseł. To bardzo praktyczne narzędzie operacyjne: jeśli strona jest klonem na innej domenie, menedżer zwykle nie podpowie hasła, bo nie rozpozna adresu. Dla pracownika to czytelny sygnał, że coś jest nie tak.

Podszycie pod kontrahenta w transporcie zmiana numeru konta email

To jeden z najbardziej kosztownych scenariuszy w praktyce. Ktoś pisze z maila, który wygląda znajomo, i prosi o zmianę numeru konta lub danych płatności, czasem pod pretekstem audytu, nowego banku, pilnej korekty. W logistyce takie prośby potrafią przejść, bo każdy chce zamknąć temat szybko.

Minimalna procedura, która realnie działa, jest prosta:

zmiana danych płatności zawsze wymaga weryfikacji drugim kanałem, najlepiej telefonicznie na numer z umowy
jedna osoba zgłasza zmianę, druga ją zatwierdza, nawet w małej firmie
dopóki nie ma weryfikacji, płatność idzie starym kanałem

Wyłudzenia na fałszywy email

W praktyce obrona to połączenie trzech rzeczy: nawyków ludzi, porządnych procedur i sensownych zabezpieczeń technicznych w tle. Warto pamiętać o dwóch zasadach operacyjnych:

Po pierwsze procedura jest ważniejsza niż pojedynczy komunikat. Jednorazowy mail przypominający o phishingu działa przez tydzień. Dobrze zrobione zasady weryfikacji przelewów i zmian danych działają cały rok.

Po drugie proces musi być ćwiczony. Jeżeli zespół nigdy nie trenował reakcji na podejrzany mail, to w stresie zrobi dokładnie to, co robi zwykle: kliknie w podejrzany mail i wykona rutynowe działania.

Dlaczego ćwiczenia i testy odporności mają wartość

Cykliczne mikro szkolenia i testy jako stały proces w firmie

W firmach, które dobrze radzą sobie z phishingiem, istnieje wspólny mianownik: nie ma wielkich kampanii raz na rok, są krótkie ćwiczenia realizowane jako proces.

Dobry model to mikro szkolenia co kilka tygodni, połączone z testami odporności i omówieniem wyników. Taki cykl buduje nawyk, a nawyk wygrywa z presją czasu. Szczególnie w branżach, gdzie zmiany i wyjątki są codziennością.

Co zrobić po kliknięciu lub podaniu danych

Co zrobić po kliknięciu w link phishingowy

Jeśli kliknąłeś w link, ale nie podałeś danych, nadal reaguj. Najgorsze jest zamiatanie pod dywan, bo wtedy IT nie widzi wzorca i nie blokuje kolejnych prób.

Pierwsze kroki po stronie użytkownika:

przerwij działanie, nie wpisuj danych, nie próbuj logować się ponownie
zgłoś incydent do IT lub Security, podaj czas, temat maila i gdzie prowadził link
jeśli to możliwe, zrób zrzut ekranu maila i strony

Jeśli podałeś login i hasło:

natychmiast zmień hasło na prawdziwej stronie i wyloguj wszystkie sesje, jeśli usługa to umożliwia
powiadom IT, aby sprawdziło logowania, reguły przekazywania poczty i nietypowe zmiany

W tle IT powinno równolegle sprawdzić, czy ktoś nie dodał przekierowań, reguł w skrzynce, nie podpiął aplikacji zewnętrznej, nie zmienił danych kontaktowych oraz czy nie wystąpiły próby logowania z nietypowych lokalizacji. To są klasyczne oznaki, że phishing przeszedł w etap przejęcia konta.

Podsumowanie

Kampania Diesel Vortex pokazuje trend: cyberprzestępcy wygrywają wtedy, gdy proces biznesowy jest szybki, rozproszony i oparty o zaufanie. W logistyce i spedycji dokładnie tak jest, dlatego phishing w logistyce nie jest tylko problemem poczty. To problem operacyjny.

Najlepsza obrona nie wymaga rewolucji. Wymaga konsekwencji: logowanie z zakładek, weryfikacja zmian płatności drugim kanałem, zgłaszanie podejrzanych stron i cykliczne ćwiczenia, które wyrabiają nawyk zatrzymania się i krótkiej refleksji. Ten krótki czas często decyduje o tym, czy firma traci pieniądze, czy tylko usuwa kolejny podejrzany mail.

Najczęstsze pytania

Jak rozpoznać, czy strona logowania do platformy TSL jest fałszywa?

Sprawdź adres URL — fałszywe strony często używają domen podobnych do oryginalnych, ale z drobnymi różnicami (np. dodatkowe litery, myślniki). Zwracaj uwagę na certyfikat SSL i ostrzeżenia przeglądarki. W razie wątpliwości wpisz adres ręcznie zamiast klikać link.

Co zrobić, jeśli wpisałem dane logowania na fałszywej stronie?

Natychmiast zmień hasło do platformy (jeśli jeszcze masz dostęp), aktywuj uwierzytelnianie dwuskładnikowe (2FA), zgłoś incydent do działu IT i monitoruj konto pod kątem nieautoryzowanych akcji.

Źródła

BleepingComputer: Phishing campaign targets freight and logistics orgs in the US, Europe— Analiza kampanii Diesel Vortex