Дослідники з Have I Been Squatted разом з Ctrl-Alt-Intel у лютому 2026 року повідомили про виявлення цільової фішингової операції проти вантажних і логістичних компаній США та Європи, яку вони позначили як Diesel Vortex. За їхніми даними, кампанія була спрямована на крадіжку облікових даних до галузевих систем: бірж вантажів, порталів перевізників і брокерів, а також платіжних і паливних контурів, де компрометація логіна часто означає прямий доступ до грошей або можливості перенаправлення платежів.
Єдиним публічним джерелом подробиць залишається публікація дослідників, тоді як у великих профільних і кібербезпекових медіа на момент кінця лютого 2026 року підтверджень або паралельних розслідувань не виявлено. Це не спростовує викладені факти, але змушує ринок сприймати історію як «свіже приватне розслідування», яке ще не пройшло через звичні механізми незалежної верифікації. Деталі, цифри та механіка, викладені нижче, наводяться за звітом Have I Been Squatted та партнерів: опис Diesel Vortex та відновленої інфраструктури фішингу.
Згідно зі звітом, підтверджений період активності кампанії — з вересня 2025-го по лютий 2026 року. Дослідники заявляють про 3 474 перехоплених пар логін/пароль, з яких 1 649 — унікальні облікові дані. Телеметрія по відвідуваннях фішингових сторінок, як стверджується, включає 9 016 унікальних IP-адрес відвідувачів. В інфраструктурі було задіяно 52 домени, а список цільових контактних адрес становив 75 840 e-mail’ів (57 092 унікальних). Ці цифри важливі не самі по собі, а тому що показують: мова йшла не про точкову атаку на одного великого гравця, а про промислову «воронку» з широкою розсилкою, фільтрацією та активним «дожимом» тих, хто клікнув.
Як приклади платформ і процесів, під які були підготовлені шаблони, у звіті фігурують DAT і Truckstop (у тексті зустрічається формулювання «DAT Truckstop»), Central Dispatch, TIMOCOM, Teleroute, Highway, а також імітація порталів великих операторів і логістичних підрозділів, включаючи Penske Logistics. Окремий блок присвячено схемам навколо EFS (Electronic Funds Source) — це вже не тільки ризик витоку даних, але й потенційний ґрунт для чекового/паливного шахрайства та підміни платіжних реквізитів. У звіті згадується 35 спроб, пов'язаних з EFS-чеками, як окремий спостережуваний показник монетизації.
Для галузі наслідки компрометації таких обліковок зазвичай вкладаються в кілька сценаріїв, добре знайомих ринку: перехоплення або підміна завантаження/призначень, доступ до деталей відвантажень і контактів, зловживання в комунікаціях «перевізник—брокер—відправник», подвійне брокерство, перенаправлення інвойсів і зміна платіжних інструкцій. При доступі до платіжних і паливних систем ризики стають більш прямими: від несанкціонованих випусків/переоформлень до спроб «зняти» гроші через підроблені підтвердження.
Будьте в курсі новин галузі
Підпишіться на нашу розсилку та отримуйте останні новини галузі вантажних перевезень, оновлення регуляцій та поради щодо кар'єри на вашу електронну пошту.
Ми поважаємо вашу конфіденційність. Відписатися можна в будь-який час.
Ключова особливість Diesel Vortex, за описом дослідників, — не просто збір логінів і паролів, а «оператор у контурі», який у реальному часі веде жертву по потрібних кроках і перехоплює одноразові коди. У звіті фігурують ознаки голосового фішингу (vishing) у відновлених повідомленнях і логах, але центральним каналом управління виступав Telegram.
Механіка виглядала так: жертва потрапляла на фішингову сторінку, вводила логін/пароль, після чого оператор отримував повідомлення в Telegram і міг запускати додаткові запити до жертви — наприклад, попросити код 2FA, переключити потік на «вхід через Google/Microsoft/Yahoo», або навпаки заблокувати сесію, якщо щось пішло не так. Такий підхід націлений на найбільш поширену в логістиці реальність: багато обліковок захищено SMS/TOTP, що працює проти масових «скриптових» атак, але погано захищає від атаки, де людина «знімає» код у момент його дії.
Внутрішні метрики зі звіту побічно підтверджують ручну роботу операторів: наприклад, команда/статус “Invalid” використовувалася 1 559 разів у масиві з 4 657 запитів — тобто оператори часто перепровіряли або «ловили» правильний пароль/код у обмежене вікно часу.
Звіт описує архітектуру «двох доменів», яка призначалася для обходу блоклистів і механізмів безпеки браузерів. Зверху користувач бачив «пристойний» домен (часто в зоні .com) — умовний «рекламний» домен. Але сама фішингова форма завантажувалася всередині повноекранного iframe з другого домену — «системного», часто в зонах .top або .icu. У логіці дослідників, це підвищувало живучість схеми: навіть якщо блокується «контентний» домен, «вітрина» може жити довше, а ротація доменів стає дешевшою і швидшою.
Далі включалася багатоступенева «воронка» відсіву небажаних відвідувачів. Згадуються планування включення посилань, перемикачі активності шаблонів/доменів, IP/ISP/ASN-фільтрація з опорою на ipinfo.io, відсів по user-agent’ам (для ботів і пісочниць), параметри і «ворота» по URL, банлисти, а також токени для iframe. У звіті наводиться і конкретика по таймінгам: браузер опитував ендпоінт виду /ajax/check_request.php кожну секунду, а TTL токена для iframe був 10 секунд. При цьому дослідники відзначають помилку реалізації: відсутність жорсткого контролю максимального часу життя дозволяла підробляти «довго живучі» токени.
Окремо у звіті фігурують показники «самооборони» інфраструктури: 254 записи в IP-блоклисті (включаючи CIDR і точкові адреси), 49 підрядків для блокування по ISP/ASN і 16 патернів по user-agent. По суті, це відображає зрілість фішингової платформи: атакуючі явно очікували уваги з боку провайдерів, SOC-команд і дослідників і заздалегідь будували фільтри проти «не тих» відвідувачів.
Ще одна деталь, значуща саме для вантажного ринку США: у матеріалах, відновлених дослідниками, зустрічаються внутрішні брендові позначення GlobalProfit і маркетингове ім'я «MC Profit Always». У звіті висувається припущення, що «MC» відсилає до номера Motor Carrier (MC number) у системі FMCSA — тобто творці явно думали в термінах американського ринку і його звичної ідентифікації перевізників.
Дослідники вважають, що платформа могла розвиватися в бік «phishing-as-a-service», тобто продукту для продажу іншим зловмисникам: готові шаблони під галузеві сервіси, панель управління, телеграм-боти, логування, бан/клоакінг, швидка ротація доменів, плюс операторська модель для перехоплення MFA.
Зломостійкість у атакуючих була високою, але, як стверджується у звіті, їх підвела операційна помилка: на одному з фішингових сайтів виявився доступний каталог .git. Це дозволило дослідникам вивантажити історію розробки і зібрати практично повний артефактний слід: кодову базу, дампи бази даних, webhook-логи, фрагменти внутрішніх комунікацій і історію змін. У звіті вказано, що відновлена платформа включала понад 2 100 файлів і базу на 54 таблиці; окремим ключовим артефактом став дамп SQL обсягом 36,6 МБ з відміткою часу 4 лютого 2026 року.
У Telegram-інструментарії, за даними дослідників, було виявлено 10 токенів ботів, дев'ять з яких залишалися активними на момент аналізу. Це важливо для практиків: така схема управління живе, поки живуть токени і канали, тому витік токенів може прискорити «обрізання» інфраструктури, якщо провайдери оперативно їх відкликають.
Автори звіту описують групу як «російсько-пов'язану»: згадуються російськомовні коментарі в коді і документації, а також метадані, що вказують на московський контекст. Одночасно в логах Telegram, за їхніми словами, присутня вірменська мова, і партнер Ctrl-Alt-Intel брав участь в інтерпретації відповідних фрагментів. Це виглядає як змішана операційна команда або розподіл ролей між учасниками. Реальних особистостей дослідники не називають; зустрічаються лише ярлики/ролі операторів у ботах і логах (наприклад, «Leo operator», «Penske operator»), які не можна трактувати як ідентифікацію конкретних людей.
Оскільки незалежних підтверджень атрибуції на момент публікації немає, учасникам ринку має сенс сприймати «географію» групи як робочу гіпотезу дослідників, а не як встановлений факт правоохоронців.
Навіть якщо винести за дужки конкретну назву Diesel Vortex, сама модель атаки добре лягає на поточні болючі точки галузі. Відновлення споту і боротьба за маржу посилюють швидкість прийняття рішень, а значить і вразливість до листів «терміново підтвердьте обліковий запис», «оновіть пароль», «перевірте платіж». Паралельно професійні асоціації в США публічно підкреслюють зростання збитків від подвійного брокерства і платіжних маніпуляцій і підтримують посилення заходів проти шахрайства на ринку. Для атакуючих крадіжка обліковок до бірж вантажів і платіжних систем — прямий шлях до тих самих схем, тільки з вищою «конверсією», тому що доступ виглядає легітимним.
На практиці це означає, що у перевізників і брокерів «точка входу» в більшість великих втрат як і раніше банальна: обліковий запис диспетчера, бухгалтера або owner-operator’а на біржі вантажів або в платіжному сервісі, до якої змогли підібрати не пароль, а довіру користувача — і перехопити MFA в момент введення.
