「他们不是来偷文件的,是来偷卡车的。」Proofpoint分析师这样描述2025年最棘手的供应链攻击。当网络安全行业还在讨论勒索软件时,有组织犯罪集团已经找到了更直接的变现路径——黑进物流系统,把价值数百万美元的实体货物 redirect 到自家仓库。

这不是电影情节。2025年北美货物盗窃损失达66亿美元,数字攻击成为主要推手。犯罪团伙坐在电脑前,用钓鱼邮件和远程控制软件,就能让一整车的电子产品或能量饮料改道消失。

打开网易新闻 查看精彩图片

犯罪升级:从暴力劫车到键盘操作

货物盗窃本身并不新鲜。美国国家保险犯罪局(NICB)的数据显示,这类损失每年达数十亿美元,且持续攀升。但执行方式发生了根本性转变。

过去,劫匪需要物理接近——武装抢劫、仓库闯入、劫持卡车。现在,一台笔记本电脑就够了。攻击者渗透进承运商和货运代理的系统,伪造运输订单,通过合法渠道安排提货,最终把货物转入自己的分销网络。

Proofpoint研究人员识别出这一威胁集群,并高度确信攻击者与有组织犯罪集团协同作案。该活动至少从2025年6月开始活跃,但证据表明实际运作可能早至2025年1月。

自2025年8月以来,Proofpoint观察到近二十轮攻击活动,单轮邮件发送量从不足10封到超过1000封不等。研究人员特别指出,攻击者似乎不挑目标——从家族小作坊到大型运输企业,一律通吃。

正方观点:数字化供应链的必然代价

支持供应链全面数字化的从业者认为,这类攻击是转型期的阵痛,而非系统性失败。他们的核心论据有三点。

第一,效率收益远超风险成本。货运撮合平台(load board)让空驶率下降、匹配效率提升,这些经济价值是真实的。66亿美元的损失听起来惊人,但放在数万亿美元的北美货运市场中,占比仍有限。数字化带来的边际收益,足以覆盖安全投入。

第二,攻击手段并非不可防御。Proofpoint详细记录了入侵路径:虚假货运信息、邮件线程劫持、定向钓鱼。这三类攻击都有成熟的安全实践可应对——多因素认证、邮件过滤、员工培训。问题出在执行层面,而非技术架构本身。

第三,犯罪集团的"升级"恰恰说明传统手段失效。当物理安保加强、车载GPS普及,劫匪被迫转向网络攻击,这反而是安全措施见效的信号。数字化供应链的透明度和可追溯性,长期来看有利于打击犯罪。

这一派观点的潜台词是:不要因噎废食。退回纸质单据和电话调度的时代,损失只会更大——不是被盗,而是被效率淘汰。

反方观点:架构级漏洞被低估

持谨慎态度的安全专家和行业观察者则指出,正方论点回避了关键问题:物流行业的数字化是"带病上线",而非渐进优化。

首先,攻击面扩张的速度远超防护能力。货运撮合平台、电子数据交换(EDI)系统、承运商管理工具——这些系统在设计时优先考虑互联互通,而非身份验证的严谨性。一个被攻破的货运代理账户,可以撬动整个信任链条。Proofpoint观察到的攻击模式显示,攻击者正是利用"合法渠道"的认证漏洞:他们不需要伪造身份,只需要劫持已有身份。

其次,RMM工具(远程监控与管理工具)的滥用暴露了更深层的供应链安全问题。攻击者诱导受害者安装这些本应服务于IT运维的工具,从而获得完整控制权。这类工具本身合法、广泛部署,传统安全软件难以标记。这意味着防御边界从"阻止恶意软件"扩展到"识别合法工具的恶意使用",复杂度跃升了一个数量级。

第三,损失统计严重低估实际影响。66亿美元是报案数字,而Proofpoint描述的攻击模式——快速转售、海外转移——意味着大量案件可能未被识别为网络犯罪,甚至未被报案。家族小企业发现货物失踪,第一反应是承运商失误或内部盗窃,而非报警并启动网络取证。

更根本的质疑是:当"货物"本身成为攻击目标,网络安全与实体安全的责任边界彻底模糊。传统的网络安全团队不追踪卡车位置,而物流运营团队不解读钓鱼邮件。组织架构的割裂,让攻击者有机可乘。

我的判断:这不是"网络犯罪",是"网络化犯罪"

双方观点都有道理,但都落入了同一个框架陷阱——把这件事当作"网络安全问题"来讨论。Proofpoint的发现指向一个更准确的定位:这是有组织犯罪在数字基础设施支持下的实体犯罪,简称"网络化犯罪"。

区分这一点至关重要。传统网络安全威胁(勒索软件、数据泄露)的变现链条依赖"数字资产"——加密数据、敏感信息、计算资源。而货运攻击的变现链条终点是实体商品,数字入侵只是手段。这意味着:

第一,防御责任不能只落在IT部门。物流运营、财务审核、仓库管理都需要重新设计流程,以识别"看起来合法的异常"——比如新注册的承运商突然承接高价值线路,或者提货时间窗口的微妙调整。

第二,行业协作机制需要升级。Proofpoint提到攻击者"不挑目标",这恰恰说明防御也不能各自为战。一个被攻破的货运代理账户,可以污染多个承运商的信任网络。信息共享的速度,必须追上犯罪集团利用信息差的速度。

第三,技术供应商的商业模式需要审视。RMM工具之所以被滥用,与其"合法即安全"的市场定位有关。当工具的设计假设("用户是可信IT管理员")与现实场景("用户可能是被钓鱼的员工")脱节,攻击者自然乘虚而入。

2025年的货运攻击浪潮,本质上是一场"信任基础设施"的压力测试。供应链数字化把"信任"编码进了系统——账户认证、订单确认、提货授权——但编码的严谨程度,没有跟上信任关系的复杂度。犯罪集团只是第一个系统性地利用这一落差的玩家。

Proofpoint的研究留下一个未解的问题:当攻击者开始混合数字与实体操作,现有的执法框架和保险条款能否跟上?货物被盗后跨境转移,责任在承运商、货主、还是平台方?这些问题没有现成答案,而犯罪集团已经在利用答案的模糊地带。