Zdalny dostęp to nowe “towary” – cyberprzestępcy kradną fizyczne ładunki przez przejęcia w sektorze TSL

Wprowadzenie do problemu / definicja luki

Nowy raport Proofpoint opisuje rosnący trend kampanii ukierunkowanych na przewoźników i brokerów w transporcie drogowym: atakujący kompromitują konta na giełdach ładunków oraz skrzynki e-mail, by dostarczyć legalne narzędzia zdalnego zarządzania (RMM) i przejąć systemy. Następnie, korzystając z dostępu, składają oferty na prawdziwe zlecenia przewozowe i kradną fizyczny towar. To cyber-enabled cargo theft w wersji 2025.

W skrócie

• Przestępcy włamują się do firm TSL (od małych rodzinnych flot po duże podmioty) i instalują RMM (m.in. ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N-able, GoTo Resolve).
• Wejście uzyskują przez: przejęte konta na load boardach, wstrzykiwanie wątku e-mail (thread hijacking) oraz masowe kampanie e-mail z linkami do plików .msi/.exe.
• Po uzyskaniu zdalnego dostępu prowadzą rozpoznanie i kradną poświadczenia (np. przez WebBrowserPassView), aby pogłębić dostęp i wyłudzać ładunki pod cudzym szyldem.
• Straty z kradzieży ładunków wzrosły w 2024 r. o 27% i mają wzrosnąć o kolejne 22% w 2025 r., co potwierdzają dane NICB/CargoNet.

Kontekst / historia / powiązania

Kradzieże ładunków istniały od dziesięcioleci, ale digitalizacja łańcuchów dostaw (load boardy, portale przewoźników, systemy TMS/telematyka) stworzyła nowe wektory nadużyć. Zjawisko opisane przez Proofpoint wpisuje się w obserwowany od 2024 r. zwrot cyberprzestępców ku nadużywaniu legalnych narzędzi RMM jako ładunku pierwszego etapu – to pozwala „przelecieć pod radarem” EDR i filtrów. Trend ten potwierdzają także przeglądy roku od Cisco Talos.

Równolegle środowisko TSL mierzy się z rosnącą liczbą oszustw brokerskich/BEC (podszywanie się pod przewoźników, brokerów, spedytorów), co FBI klasyfikuje jako jedną z kluczowych kategorii oszustw biznesowych.

Analiza techniczna / szczegóły luki

Łańcuch ataku opisany w badaniu wygląda następująco:

1. Przejęcie konta na giełdzie ładunków (load board) → 2) publikacja fałszywego zlecenia → 3) odpowiedź realnego przewoźnika → 4) wysyłka wiadomości z linkiem do instalatora RMM (.msi/.exe) → 5) stały zdalny dostęp, rozpoznanie i kradzież poświadczeń → 6) składanie ofert i rezerwacja realnych kursów na przejęte dane → 7) fizyczny odbiór ładunku i zniknięcie towaru.

Ładunki pierwszego etapu: ScreenConnect, SimpleHelp, PDQ Connect (często używany do doinstalowania innych RMM), Fleetdeck, N-able, GoTo Resolve, a w starszych kampaniach także NetSupport; obok nich spotykane stealer’y (Lumma, StealC, DanaBot) – wszystkie służą ostatecznie do zdalnego dostępu i kradzieży danych.

Techniki dostarczenia:

• Compromised load boards – linki do „umów przewoźnik-broker” hostowanych na domenach podszywających się pod branżowe serwisy.
• Email thread hijacking – wstrzyknięcie złośliwego URL w trwającą korespondencję.
• Masowe kampanie e-mail do operatorów TSL.
  Wszystkie prowadzą do pobrania podpisanych instalatorów RMM, co utrudnia detekcję i podnosi współczynnik instalacji.

Po kompromitacji napastnicy wyłączają powiadomienia, podsłuchują komunikację, przekierowują telefony dispatchera i pod tożsamością ofiary rezerwują kursy. Proofpoint wskazuje przypadki, gdzie atakujący usuwali istniejące zlecenia i podstawiali własne środki do odbioru.

Praktyczne konsekwencje / ryzyko

• Realna utrata towaru o średniej wartości przekraczającej 200 tys. USD na incydent; roczne straty biją rekordy.
• Zakłócenia łańcucha dostaw i koszty wtórne: kary SLA, wzrost składek ubezpieczeniowych, utrata kontraktów i reputacji.
• Ryzyko przeniesienia ataku do systemów pokrewnych (TMS, ELD, fakturowanie), gdyż RMM daje szerokie uprawnienia i bywa akceptowane przez polityki bezpieczeństwa.

Rekomendacje operacyjne / co zrobić teraz

1) Zarządzanie RMM (allow-list i monitoring)

• Zablokuj instalację jakiegokolwiek RMM spoza listy zatwierdzonych narzędzi; wymuś podpisy/aprobaty IT oraz wdroż zasady kontroli aplikacji (WDAC/AppLocker).
• Monitoruj DNS/HTTP(S) pod kątem domen i sygnatur RMM (ET/IDS); Proofpoint publikuje konkretne reguły ET dla ScreenConnect, SimpleHelp, PDQ, N-able, Fleetdeck, GoTo Resolve.

2) E-mail i tożsamość

• Włącz i egzekwuj MFA odporne na phishing (FIDO2/WebAuthn) do poczty i aplikacji load-board/TMS; wymuś DMARC z p=reject, SPF, DKIM; blokuj załączniki/URL prowadzące do plików .msi/.exe.
• Szkol personel ds. sprzedaży/dispatch i kierowców w rozpoznawaniu wstrzykiwania wątków i podszywania się; raportuj każde podejrzane „porozumienie przewoźnik-broker” przesyłane jako link do instalatora.

3) Procesy branżowe (wg NMFTA Framework)

• Weryfikacja tożsamości przewoźnika/brokera (cross-check SCAC/MC/DOT, weryfikacja telefoniczna z niezależnego numeru, „call-back” na numer z oficjalnych rejestrów).
• Segregacja obowiązków przy publikacji/akceptacji ładunków; wymóg drugiej pary oczu przy zmianie danych płatniczych lub odbioru.
• Kontrole w load boardach: alerty anomalii (nagłe zmiany banku, nowy numer telefonu), zautomatyzowane blokady dla nowych domen e-mail.

4) Telemetria i reagowanie

• Zbieraj logi z RMM (instalacje, połączenia, zdalne sesje); zdefiniuj reguły EDR/NDR i runbook izolacji hosta, resetu haseł oraz wyłączenia zdalnych pluginów.
• Testuj procedurę „fake load drill” – symulację podejrzanego zlecenia i ścieżki eskalacji do CSIRT.

5) Ubezpieczenia i ciągłość działania

• Zweryfikuj zakres polis cargo pod kątem incydentów cyber-enabled i wymogów dowodowych (telemetria, potwierdzenia odbioru, łańcuch kontaktów). Dane o eskalacji szkód potwierdza NICB/CargoNet.

Różnice / porównania z innymi przypadkami

• Ransomware vs. cargo theft: tu celem nie są dane ani okup, lecz zysk z fizycznego towaru – dlatego TTP skupia się na wiarygodności (legalny RMM, prawdziwe zlecenia), a nie na destrukcji.
• Klasyczny RAT vs. RMM: legalne RMM mają podpisane instalatory i infrastrukturę SaaS, co obniża skuteczność filtrów reputacyjnych i wzbudza mniejszą czujność użytkownika. Ten wektor jest szeroko obserwowany w szerszym krajobrazie zagrożeń.
• BEC w TSL: elementy BEC (podszywanie się, zmiany płatności) występują równolegle, ale w omawianym schemacie główną monetą jest ładunek, nie przelew.

Podsumowanie / kluczowe wnioski

• Atakujący łączą socjotechnikę specyficzną dla TSL z nadużyciem legalnych narzędzi RMM, by wynieść realne towary.
• Obrona wymaga nie tylko kontroli technicznych (allow-list RMM, EDR/ET, MFA), ale też dyscypliny procesowej: twardej weryfikacji tożsamości i higieny pracy na giełdach ładunków.
• Dane z rynku (NICB/CargoNet) wskazują, że 2025 r. przyniesie dalszy wzrost kradzieży – organizacje muszą uszczelnić punkty styku IT-OT-logistyka już teraz.

Źródła / bibliografia

1. Proofpoint: Remote access, real cargo: cybercriminals targeting trucking and logistics (03.11.2025). (Proofpoint)
2. NICB: Cargo Theft (aktualizacja 2025; statystyki +27% w 2024, prognoza +22% w 2025). (nicb.org)
3. NMFTA: Cybersecurity Cargo Crime Reduction Framework v1.0 (12.06.2025). (Regulations.gov)
4. Cisco Talos: 2024 Year in Review – trendy nadużyć RMM/tożsamości. (Cisco Talos Blog)
5. FBI/IC3: 2024 Internet Crime Report – kontekst BEC i oszustw płatniczych. (ic3.gov)