黑客盯上貨運公司：不偷數據，直接劫走你的貨

「他們不是來偷文件的，是來偷卡車的。」Proofpoint分析師這樣描述2025年最棘手的供應鏈攻擊。當網絡安全行業還在討論勒索軟件時，有組織犯罪集團已經找到了更直接的變現路徑——黑進物流系統，把價值數百萬美元的實體貨物 redirect 到自家倉庫。

這不是電影情節。2025年北美貨物盜竊損失達66億美元，數字攻擊成為主要推手。犯罪團伙坐在電腦前，用釣魚郵件和遠程控制軟件，就能讓一整車的電子產品或能量飲料改道消失。

犯罪升級：從暴力劫車到鍵盤操作

貨物盜竊本身并不新鮮。美國國家保險犯罪局（NICB）的數據顯示，這類損失每年達數十億美元，且持續攀升。但執行方式發生了根本性轉變。

過去，劫匪需要物理接近——武裝搶劫、倉庫闖入、劫持卡車。現在，一臺筆記本電腦就夠了。攻擊者滲透進承運商和貨運代理的系統，偽造運輸訂單，通過合法渠道安排提貨，最終把貨物轉入自己的分銷網絡。

Proofpoint研究人員識別出這一威脅集群，并高度確信攻擊者與有組織犯罪集團協同作案。該活動至少從2025年6月開始活躍，但證據表明實際運作可能早至2025年1月。

自2025年8月以來，Proofpoint觀察到近二十輪攻擊活動，單輪郵件發送量從不足10封到超過1000封不等。研究人員特別指出，攻擊者似乎不挑目標——從家族小作坊到大型運輸企業，一律通吃。

正方觀點：數字化供應鏈的必然代價

支持供應鏈全面數字化的從業者認為，這類攻擊是轉型期的陣痛，而非系統性失敗。他們的核心論據有三點。

第一，效率收益遠超風險成本。貨運撮合平臺（load board）讓空駛率下降、匹配效率提升，這些經濟價值是真實的。66億美元的損失聽起來驚人，但放在數萬億美元的北美貨運市場中，占比仍有限。數字化帶來的邊際收益，足以覆蓋安全投入。

第二，攻擊手段并非不可防御。Proofpoint詳細記錄了入侵路徑：虛假貨運信息、郵件線程劫持、定向釣魚。這三類攻擊都有成熟的安全實踐可應對——多因素認證、郵件過濾、員工培訓。問題出在執行層面，而非技術架構本身。

第三，犯罪集團的"升級"恰恰說明傳統手段失效。當物理安保加強、車載GPS普及，劫匪被迫轉向網絡攻擊，這反而是安全措施見效的信號。數字化供應鏈的透明度和可追溯性，長期來看有利于打擊犯罪。

這一派觀點的潛臺詞是：不要因噎廢食。退回紙質單據和電話調度的時代，損失只會更大——不是被盜，而是被效率淘汰。

反方觀點：架構級漏洞被低估

持謹慎態度的安全專家和行業觀察者則指出，正方論點回避了關鍵問題：物流行業的數字化是"帶病上線"，而非漸進優化。

首先，攻擊面擴張的速度遠超防護能力。貨運撮合平臺、電子數據交換（EDI）系統、承運商管理工具——這些系統在設計時優先考慮互聯互通，而非身份驗證的嚴謹性。一個被攻破的貨運代理賬戶，可以撬動整個信任鏈條。Proofpoint觀察到的攻擊模式顯示，攻擊者正是利用"合法渠道"的認證漏洞：他們不需要偽造身份，只需要劫持已有身份。

其次，RMM工具（遠程監控與管理工具）的濫用暴露了更深層的供應鏈安全問題。攻擊者誘導受害者安裝這些本應服務于IT運維的工具，從而獲得完整控制權。這類工具本身合法、廣泛部署，傳統安全軟件難以標記。這意味著防御邊界從"阻止惡意軟件"擴展到"識別合法工具的惡意使用"，復雜度躍升了一個數量級。

第三，損失統計嚴重低估實際影響。66億美元是報案數字，而Proofpoint描述的攻擊模式——快速轉售、海外轉移——意味著大量案件可能未被識別為網絡犯罪，甚至未被報案。家族小企業發現貨物失蹤，第一反應是承運商失誤或內部盜竊，而非報警并啟動網絡取證。

更根本的質疑是：當"貨物"本身成為攻擊目標，網絡安全與實體安全的責任邊界徹底模糊。傳統的網絡安全團隊不追蹤卡車位置，而物流運營團隊不解讀釣魚郵件。組織架構的割裂，讓攻擊者有機可乘。

我的判斷：這不是"網絡犯罪"，是"網絡化犯罪"

雙方觀點都有道理，但都落入了同一個框架陷阱——把這件事當作"網絡安全問題"來討論。Proofpoint的發現指向一個更準確的定位：這是有組織犯罪在數字基礎設施支持下的實體犯罪，簡稱"網絡化犯罪"。

區分這一點至關重要。傳統網絡安全威脅（勒索軟件、數據泄露）的變現鏈條依賴"數字資產"——加密數據、敏感信息、計算資源。而貨運攻擊的變現鏈條終點是實體商品，數字入侵只是手段。這意味著：

第一，防御責任不能只落在IT部門。物流運營、財務審核、倉庫管理都需要重新設計流程，以識別"看起來合法的異常"——比如新注冊的承運商突然承接高價值線路，或者提貨時間窗口的微妙調整。

第二，行業協作機制需要升級。Proofpoint提到攻擊者"不挑目標"，這恰恰說明防御也不能各自為戰。一個被攻破的貨運代理賬戶，可以污染多個承運商的信任網絡。信息共享的速度，必須追上犯罪集團利用信息差的速度。

第三，技術供應商的商業模式需要審視。RMM工具之所以被濫用，與其"合法即安全"的市場定位有關。當工具的設計假設（"用戶是可信IT管理員"）與現實場景（"用戶可能是被釣魚的員工"）脫節，攻擊者自然乘虛而入。

2025年的貨運攻擊浪潮，本質上是一場"信任基礎設施"的壓力測試。供應鏈數字化把"信任"編碼進了系統——賬戶認證、訂單確認、提貨授權——但編碼的嚴謹程度，沒有跟上信任關系的復雜度。犯罪集團只是第一個系統性地利用這一落差的玩家。

Proofpoint的研究留下一個未解的問題：當攻擊者開始混合數字與實體操作，現有的執法框架和保險條款能否跟上？貨物被盜后跨境轉移，責任在承運商、貨主、還是平臺方？這些問題沒有現成答案，而犯罪集團已經在利用答案的模糊地帶。