夜雨聆风
【保密提醒】警惕!日常办公文档正变成“披着羊皮的狼”
在数字化办公成为常态的今天,查阅、编辑文档是机关单位工作人员每日的基础工作。然而,你可曾想过,一份看似平常的Word或PDF文档,可能正携带着窃密的恶意代码?
2026年1月22日,工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)发布风险提示,攻击者正将恶意代码深度藏匿于看似普通的Word文档与PDF文件中,利用工作人员对常见文件格式的天然信任,伺机窃取政府、军事、电信、能源等关键机构的系统凭证与机密文件等敏感数据,其手法之隐蔽、危害之深远,需要每一名工作人员高度警惕。
01
Word文档化身“窃密利器”
2025年6月,国家安全部通报的一起典型案例令人触目惊心。国内某知名大学前沿科技领域专家杨教授收到一封境外人员伪装成“学生”发送的邮件,邮件正文措辞恳切,申请报考杨教授的研究生,附件则是一个加密的Word简历文档,密码“贴心”地标注在邮件正文中。好在杨教授警惕性极高,当对方在交流中问及“舰船装备”等敏感领域时,杨教授当即反应过来,将情况上报国家安全机关。
经技术鉴定,该加密Word文档中内置了境外间谍情报机关专研的木马程序,一旦目标对象打开文档并输入密码,木马程序便会立即触发,攻击者由此轻易控制目标计算机并任意窃取其中存储的数据资料。
然而,并非所有人都有杨教授这样的警觉。近年来,境外间谍情报机关频繁使用“钓鱼”文档进行网攻窃密,目标直指我党政机关、国防军工单位、高校、科研院所等核心要害部门,手法复杂多变,迷惑性极强。
02
揭开“伪装文档”的两大套路
窃密者之所以能够屡屡得手,根源在于他们充分利用了用户对Word和PDF文档的天然信任,精心构造了两种极具迷惑性的诱饵文件。
(一)嵌入恶意宏的Word文档:稍有不慎就会“放行病毒”
攻击者把恶意代码偷偷塞进Word文档,再给它套上“会议安排”“合同草案”“系统更新说明”等日常外衣,让人放松警惕。当用户打开文档,屏幕上弹出“需要启用宏才能查看内容”的提示,一旦顺手点了“启用”,恶意代码就会激活,释放病毒程序,在悄无声息中植入后门,实现开机自动运行、远程操控电脑。用户浑然不觉之间,自己的办公终端已然失守。
(二)伪装成PDF的可执行文件:轻轻双击就是“引狼入室”
这种套路主要有两种表现形式。一是“双后缀伪装”,文件名看似“报告.pdf”,其实是“报告.pdf.exe”,图标和PDF完全一致;双击打开后,看似弹出了PDF阅读界面,实际后台已经开始运行恶意程序,悄悄打开后门。二是“恶意文件伪装”,攻击者将“恶意.desktop”文件伪装成PDF,用户打开后,立刻触发隐藏命令,自动从远程服务器下载窃密程序,完成后续攻击链。
03
防范文档窃密做到“三个警惕”
当Word、PDF等日常办公文档成为境外组织的“窃密利器”,一次疏忽的点击、一个侥幸的操作,都可能导致泄密,必须要时刻警惕。
第一,警惕陌生文档,切勿随意打开。禁用Office、WPS软件默认宏执行功能,仅允许受信任、已签名的宏运行;打开陌生邮件附件中的Word文档前,务必先核实发件人身份,确认无风险后关闭宏功能再浏览,坚决不点击“启用内容”。
第二,警惕PDF陷阱,规范打开流程。接收PDF文件时,先查看文件名后缀,警惕“pdf.exe”等双后缀文件,切勿双击直接打开。同时,应通过正规PDF阅读器打开文件,开启安全模式,禁止PDF自动运行嵌入式程序。
第三,警惕可疑文档,强化终端防护。定期检查自己的终端,清除系统中可疑的可执行文件;部署动态沙箱(一种用于安全的运行程序机制)等工具,对可疑文档进行深度查杀,做到防患于未然。
数字化浪潮奔涌向前,网络安全防线不容丝毫松懈。当每一份文档都可能成为攻击者手中的“数字刀锋”,唯有绷紧保密之弦,始终保持警惕之心、规范操作之形、守牢防护之实,才能在看不见的网络战场上行稳致远。
