2025年的网络犯罪,已经不再停留在屏幕上的数据与比特之间。近期,网络安全公司Proofpoint发布的一份报告揭示了一种令人震惊的新型犯罪模式——黑客入侵运输公司系统,通过远程操控卡车调度系统,直接“偷走”真实的货物。
这一系列攻击主要针对地面运输与货运代理平台,攻击链始于被入侵的货运代理账户。这些平台通常用于为卡车预订货运,是整个物流链的中枢系统。攻击者会控制这些账户,发布虚假的货运信息,等待承运商主动联系。一旦有承运商询问,黑客便以正常业务往来的名义,回复含有恶意URL的邮件,诱导受害者下载安装远程监控与管理(RMM)工具,从而获得系统控制权。
Proofpoint的调查显示,攻击者使用的RMM工具种类繁多,包括Fleetdeck、LogMeIn Resolve、N-able、PDQ Connect、ScreenConnect和SimpleHelp等,甚至有的同时部署多款工具,以增加控制和隐蔽性。一旦获得访问权限,攻击者会进一步侦察系统,部署诸如WebBrowserPassView之类的凭证窃取工具,扩大入侵范围,进而掌控企业的调度系统。
被控制的系统随后被用于更大胆的行动——黑客以受害者的身份预订、调度并“接管”运输任务,将贵重货物在系统内重定向到自家人手中。货车如常出发,但货物最终“开往”了犯罪集团的仓库。Proofpoint指出,这些行动背后高度可能与有组织犯罪集团勾结,被盗货物通过网络销售或跨国转运牟利。
目前,货物盗窃每年造成的全球损失已超过300亿美元,巴西、智利、德国、印度、墨西哥、南非和美国是重灾区。这种“网络+实物”的混合犯罪模式,让原本相对封闭的物流链成为网络攻击的新战场。更令人不安的是,这些攻击的基础设施早在2025年1月就已上线,显示出攻击者对运输行业系统架构、操作流程和安全防护的深度了解。
Proofpoint还提到,早在2024年至2025年初,就曾观察到类似针对地面交通组织的攻击,黑客使用DanaBot、Lumma Stealer、NetSupport、StealC等信息窃取程序。无论工具种类如何变化,其核心目标始终一致:通过远程访问系统窃取信息或操控业务流程。与传统木马不同,RMM工具的使用让攻击行为更加隐蔽,因为这些软件本身就是企业合法使用的远程管理工具。
这一系列事件再次提醒我们,网络安全与实体安全已不再泾渭分明。黑客不只是盗数据,更能“偷货”。企业需要重新定义防线,建立“网络防御—实物防护一体化”的安全体系。
运输与物流企业应立即强化账户安全,启用多因素认证,定期检查货运代理平台的账户活动,防止被滥用发布虚假货运信息。同时,供应链各环节应警惕可疑邮件和链接,尤其是涉及运单、调度、货运更新的通信内容,防范社会工程攻击。IT安全部门则应重点监控RMM工具的异常使用,防止合法软件被滥用为黑客的入侵通道。
从“入侵系统”到“劫走货车”,网络犯罪正在突破数字世界的边界。地面运输行业正成为网络攻击与现实盗窃融合的新焦点,安全防御必须随之升级——因为下一次被黑的,可能不是服务器,而是整车货物。