机关单位速查:境外组织通过Word、PDF直取机密文件

近期国安机关多次公开通报境外情报机构的新型窃密案例，窃密工具不是什么复杂的黑客设备，就是大家天天用的Word和PDF文档。不少接触涉密信息的工作人员一不小心，就让核心信息落到了境外组织手里。

窃密活动的完整流程

境外组织会先通过公开的论文、会议、招聘信息物色目标，锁定有涉密权限的工作人员后，再以学术交流、项目合作、课题调研等名义建立联系。

得到对方信任后，境外组织就会把嵌入了窃密木马的Word、PDF文档发给对方，邀请对方填写信息或者查阅内容。

只要接收方打开文档，且设备连接互联网，木马就会自动激活，不仅窃取当前文档的内容，还会自动扫描设备里的其他文件，直接打包发送到境外控制服务器，整个过程没有明显异常提示，多数人很难察觉。

国安机关提示，这类窃密木马针对性很强，多数经过专门免杀处理，普通杀毒软件很难识别出来，打开文档后显示的内容完全符合预期，很难从表面看出问题。

为什么文档能成为窃密工具

很多人对文档的安全风险存在认知误区，认为只有可执行程序才会带病毒，Word、PDF这类文档是安全的。

实际上，Word本身支持宏功能，PDF也支持嵌入交互脚本，这些功能本来是为了提升办公效率设计的，很容易被窃密者利用来伪装木马程序。

现在多数办公软件为了兼容性，默认开启了这些功能，只要用户不手动关闭，就给窃密留下了通道。还有不少单位内部网和互联网没有做到完全物理隔离，带毒文档从外网拷进内网后，很容易引发整个内网的信息泄露。

日常办公的必做防护

对陌生来源的附件一定要核实身份，凡是通过邮箱、社交软件发来的陌生文档，哪怕发件人看起来身份正规，也要通过电话、当面沟通等方式确认后再打开。

严格落实内外网物理隔离要求，涉密设备绝对不能连接公共互联网，也不能把外网获取的文档直接拷贝到涉密设备和涉密内网。

关闭办公软件不必要的宏功能和脚本功能，所有陌生附件打开前，都要先经过单位安全部门的病毒查杀。

如果发现设备出现不明原因的流量飙升、卡顿，或者收到可疑的文档，要第一时间上报单位安全管理部门和国安机关，不要自行拷贝转移文件。

信息安全无小事，日常办公的小习惯，就是守住机密的第一道防线。