警惕!日常办公文档可能成为“数字刀锋”
编辑:2026-05-22 11:40:22
在数字化办公时代,查阅、编辑文档已成为机关、单位工作人员的基础工作。然而,一份看似平常的Word或PDF文档可能正是攻击者手中的“数字刀锋”。
2026年1月22日,工业和信息化部网络安全威胁和漏洞信息共享平台发布风险提示,指出攻击者将恶意代码藏匿于看似普通的DOC文档与PDF文件中,利用工作人员对常见文件格式的信任,伺机窃取政府、军事、电信、能源等机构的系统凭证、机密文件等敏感数据,其手法之隐蔽、危害之深远,需要每一名工作人员高度警惕。
接下来
跟着小密一起
了解两起真实案例
国内某知名大学前沿科技领域专家杨教授收到境外人员伪装成“学生”发送的邮件,附件是加密的Word简历,密码标注在邮件正文中,诱导杨教授打开。杨教授警惕性极高,及时上报,经技术鉴定,该Word文档内置境外间谍情报机关专研的木马程序。万幸的是,杨教授在日常科研工作中严格遵守保密管理要求,并未在该计算机中存储任何敏感信息,避免了失泄密情况的发生。
某国家级重点实验室工作人员王某,为了盲目追求工作的方便快捷,故意绕开审批监管手续,在其个人联网计算机内违规存储了1000余份涉密敏感资料。某天,王某收到一封主题为“会议通知”的电子邮件,邀请其参加所属研究领域的一场学术会议。王某未作甄别就直接下载并阅读了该邮件的附件,导致其使用的个人计算机被境外间谍情报机关植入特种木马程序,并被秘密控制长达三个月。王某个人计算机内违规存储的文件资料全部被窃取,造成重大失泄密事件。
《中华人民共和国刑法》第三百九十八条规定:国家机关工作人员违反保守国家秘密法的规定,故意或者过失泄露国家秘密,情节严重的,处三年以下有期徒刑或者拘役;情节特别严重的,处三年以上七年以下有期徒刑。
非国家机关工作人员犯前款罪的,依照前款的规定酌情处罚。
文档类窃密的
两大主要套路
你需要知道
攻击者将恶意宏代码嵌入Word文档,伪装成会议通知、合同、补丁说明等常用文件,邮件标题仿官方口吻,极具迷惑性。用户打开文档后,会弹出“启用宏才能正常显示”的提示,一旦点击“启用内容”,宏代码将自动执行:解密释放恶意载荷,生成伪装成合法程序的可执行文件,植入后门,实现开机自启、远程控机,全程静默无提示。
这种手法更具欺骗性,主要有两种形式:
1.“双后缀伪装”,文件名看似“xxx.pdf”,实际是“xxx.pdf.exe”,图标显示为PDF,用户双击后,看似打开PDF,实则运行可执行程序,释放后门;
2.“恶意文件伪装”,将恶意.desktop文件伪装成PDF,用户误点后,触发隐藏命令,下载窃密程序。
强化保密意识
这几点要注意
一起学习吧
立即禁用Office软件默认宏执行功能,仅允许受信任、已签名的宏运行;严禁打开陌生邮件附件中的Word文档,若确需打开,先核实发件人身份,确认无风险后,关闭宏功能再浏览,坚决不点击“启用内容”。
接收PDF文件时,先查看文件名后缀,警惕“pdf.exe”双后缀文件,避免双击直接打开;通过正规PDF阅读器打开文件,开启安全模式,禁止PDF自动运行嵌入式程序;不接收陌生来源、无明确用途的PDF文件,尤其是压缩包中的PDF附件。
组织终端安全排查,删除SystemProc.exe等恶意程序;实时监控注册表启动项异常写入,*后门自启配置;部署动态沙箱等安全防护工具,深度查杀伪装文档。
机关、单位工作人员一次疏忽的点击、一个侥幸的操作,都可能导致国家秘密、工作秘密全盘失守,不仅会受到党纪政务处分,情节严重的还将承担刑事责任。请大家务必要绷紧保密之弦,杜绝“指尖上的泄密”。
咨询热线:0351-4073466
地址:(北区)山西省太原市迎泽区新建南路文源巷24号文源公务中心5层
(南区)太原市小店区南中环街529 号清控创新基地A座4层
