Das FBI beschreibt einen typischen Angriffsablauf. Er beginnt mit einer E-Mail an einen Frachtmakler. Diese Nachrichten wirken oft wie alltägliche Geschäftsanfragen oder Beschwerden, enthalten aber Links zu manipulierten Websites, die Malware und Fernzugriffswerkzeuge ausliefern. Damit verschaffen sich die Angreifer vollständige Kontrolle über die internen Systeme des betroffenen Unternehmens.
Daneben missbrauchen die Täter sogenannte Load Boards der Speditionsbranche – Plattformen, auf denen Unternehmen verfügbare Frachten einstellen und Spediteure nach Aufträgen suchen. Über kompromittierte Maklerkonten werden gefälschte Inserate veröffentlicht, um seriöse Spediteure anzulocken und sie zum Herunterladen von Malware zu verleiten, die den Angreifern Zugang zu deren Systemen verschafft.
Mit den so gestohlenen Identitäten der Spediteure bieten die Hacker anschließend auf echte, hochwertige Sendungen. Um glaubwürdiger zu erscheinen, dringen sie sogar in Bundesdatenbanken ein, um Versicherungsangaben und Kontaktdaten zu aktualisieren.
Haben die Diebe einen Auftrag erhalten, führen sie ein illegales „Double Brokering“ durch: Sie beauftragen einen anderen, möglicherweise ahnungslosen Fahrer mit der Abholung der Ware. Die erbeuteten Ladungen werden per Cross-Docking oder Transloading umgeschlagen – also rasch aus dem Lager abgeholt, in dem sie abgesetzt wurden, oder direkt an einen mitwirkenden Spediteur übergeben –, um sie auf dem Schwarzmarkt zu verkaufen.
In manchen Fällen halten die Täter die Fracht auch als Geisel und fordern vom ursprünglichen Makler eine Zahlung, nur um preiszugeben, wo die gestohlenen Güter versteckt sind.
Zu den vom FBI genannten Warnzeichen zählen Kontaktaufnahmen zu nicht autorisierten Sendungen, verdächtige E-Mail-Adressen, Aufforderungen, Dokumente oder Formulare über gekürzte oder gefälschte Links herunterzuladen, sowie unautorisierte Weiterleitungs- oder Auto-Löschregeln in E-Mail-Konten.