Logistikbranche im Visier: Hacker leiten Lkw-Ladungen um und stehlen Frachtgut
Sicherheitsforscher von Proofpoint warnen vor einer mindestens seit Juni 2025 laufenden Angriffskampagne, bei der Cyberkriminelle verschiedene Fernwartungstools missbrauchen, um Lieferungen umzuleiten und Spediteuren dadurch ihr Frachtgut zu stehlen. Wie die Forscher in einem Blogbeitrag(öffnet im neuen Fenster) schildern, arbeiten die Cyberakteure dafür mit anderen organisierten kriminellen Gruppen zusammen.
Die Beobachtungen aus dem Blogbeitrag beziehen sich zwar auf Fälle aus Nordamerika, Proofpoint betont jedoch, dass auch andere Regionen wie Brasilien, Mexiko, Indien, Deutschland, Chile und Südafrika zu den globalen Hotspots für Frachtdiebstahl zählen. Dabei spielten cyber-gestützte Taktiken sowie Social Engineering eine immer größere Rolle, heißt es.
"Diese Gruppen können Fracht aus der Ferne stehlen, indem sie die Technologie ausnutzen, die in Lieferketten integriert wurde, um Fracht effizienter zu transportieren" , erklären die Forscher. Sie schreiben den Angreifern weitreichende Kenntnisse über Arbeitsabläufe innerhalb der Logistikbranche zu. Die anvisierten Güter sind vielfältig und umfassen unter anderem Elektronikgeräte, Lebensmittel und Getränke.
Spediteure mittels Fake-Ladung angelockt
Um das Frachtgut zu kapern, kompromittieren die Angreifer laut Proofpoint beispielsweise sogenannte Load-Board-Konten. Bei Load Boards handelt es sich um spezielle Handelsplattformen, über die Unternehmen Angebote für den Versand von Lkw-Ladungen einholen können. Dort platzieren die Angreifer anschließend gefälschte Ladungen und warten darauf, dass eine Spedition reagiert.
Danach verschicken die Cyberakteure E-Mails mit bösartigen Links an die anvisierten Spediteure. Teilweise werden solche Mails wohl auch ohne Umweg über die Load Boards direkt an größere Unternehmen verschickt. Die enthaltenen Links führen jeweils zu einer ausführbaren Datei, mit der eines von mehreren Fernwartungstools wie Screenconnect, Simplehelp, PDQ Connect, Fleetdeck, N-able oder LogMeIn Resolve installiert wird.
Umleitung echter Lieferungen
Den Fernzugriff nutzen die Angreifer anschließend aus, um Zugangsdaten abzugreifen und im Namen der attackierten Spedition über die jeweiligen Load Boards auf echte Frachtsendungen zu bieten und diese an eigene Adressen umzuleiten. Wie real diese Bedrohung ist, zeigt ein auf Reddit geteilter Erfahrungsbericht(öffnet im neuen Fenster) einer betroffenen Spedition.
Um derartigen Angriffen vorzubeugen, empfehlen die Proofpoint-Forscher den zuständigen Administratoren, Downloads und Installationen fremder Fernwartungstools zu beschränken und damit verbundene Netzwerkaktivitäten zu überwachen. Anwender sollten zudem grundsätzlich darauf achten, keine ausführbaren Dateien aus unbekannten Quellen herunterzuladen und zu starten.