【转载】警惕!普通 Word、PDF 文档也可能成为“窃密工具”

在机关、单位日常办公中，接收邮件、查阅文档是最基础、最频繁的工作内容之一。无论是会议通知、项目材料，还是简历、报告，大量信息都通过邮件附件进行传递。

然而，据相关安全通报显示：

看似普通的 DOC 或 PDF 文档，已经成为网络窃密活动的重要载体。

一些精心伪装的文件，表面上与日常办公文档无异，但一旦打开，便可能在后台悄然执行恶意代码，进而窃取敏感信息。

现将有关典型案例及防范措施整理转载如下：

一、典型案例

案例 1：常见文档成为攻击载体

据工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）发布的风险提示显示：

攻击者将恶意代码隐藏在看似普通的 Word 文档和 PDF 文件中，通过邮件发送至目标单位工作人员。

此类文件通常具备以下特征：

文件名称具有较强“业务相关性”，如通知、函件、报告等；

邮件标题采用正式、规范的表达方式；

附件格式为常见办公文件，降低用户警惕性。

一旦用户打开文档，恶意程序便可能在后台执行，从而实现：

窃取系统登录凭证；

获取内部文件资料；

监控用户操作行为；

渗透内部网络环境。

风险提示：相关风险已涉及政府、军事、电信、能源等多个关键行业领域。

案例 2：精准伪装诱导点击

据国家安全部通报：

国内某高校前沿科技领域专家收到一封来自“学生”的邮件。邮件内容逻辑清晰、措辞得体，附件为一份加密 Word 简历，并附带解压密码。

该邮件具备较强迷惑性：

发件人身份符合日常业务场景；

附件内容与收件人身份高度相关；

提供密码降低用户戒备心理。

经技术鉴定，该 Word 文档内置恶意木马程序。由于当事人具备较强保密意识，未直接处理附件并及时上报，成功避免了潜在风险。

二、攻击原理：为何文档会“变脸”？

相关通报指出，攻击者主要利用用户对办公文档的信任心理，通过技术手段对文件进行“功能扩展”或“格式伪装”。

1. 嵌入恶意宏的 Word 文档

攻击者将恶意代码嵌入 Word 宏中，并通过邮件传播。

诱导话术：“文件内容需启用宏才能正常显示”、“请点击启用内容查看完整信息”。

攻击后果：一旦用户点击“启用内容”，宏代码自动执行，在本地释放恶意程序，建立长期隐蔽的后门通道。

2. 伪装成 PDF 的可执行文件

双后缀文件伪装：文件名显示为 xxx.pdf.exe，但在默认系统设置下，仅显示为 xxx.pdf，图标也为 PDF 样式，用户极易误判。

文件类型伪装：攻击者将脚本文件、快捷方式伪装为 PDF，内嵌下载或执行指令。

三、风险特点分析

综合相关案例可以发现，此类攻击呈现出以下特点：

四、防范措施

面对不断演进的网络窃密手段，各单位需从制度、人员与技术多个层面加强防范。

1. 提高安全意识

对陌生邮件保持警惕；

不随意打开来源不明附件；

不轻信邮件中的诱导提示。

2. 规范 Office 使用策略

默认禁用宏执行功能；

仅允许可信来源、已签名宏运行；

打开文档前核实发件人身份与文件用途。

3. 防范 PDF 及附件风险

查看完整文件后缀，警惕 .pdf.exe 等异常文件；

避免直接双击打开附件；

使用安全模式打开文档。

4. 加强终端安全防护

定期开展终端安全排查；

监控系统注册表及启动项异常；

部署沙箱、终端安全等防护工具。

相关安全实践表明，近年来邮件已成为网络攻击的重要入口之一。

通过办公文档实施攻击的手段不断演进，从简单病毒传播发展为具备隐蔽性、持续性与针对性的复合型攻击。

在此背景下：

每一封邮件、每一个附件，都可能成为安全风险的入口。

加强日常操作规范，提升安全意识，是防范此类风险的关键。

文章来源

本文转载自公开安全通报与相关资料整理。

内容来源：

工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）

国家安全部相关通报

（仅用于安全宣传与交流，如有侵权请联系删除）