3月31日， 新华社微信公众号发布《机关、单位速查！境外组织通过Word、PDF直取机密文件……》。文中提到：在机关、单位日常办公中，接收邮件、查阅文档是每日基础工作。但你是否想过，一份看似平常的DOC或PDF文档，可能正携带着窃取机密的恶意代码？。对此，我们结合典型案例与防范要点，提请广大师生员工务必保持高度警惕。

典型案例：看似寻常的文档实为“定时炸弹”

案例一：伪装的恶意宏

2026年1月22日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）发布风险提示，指出攻击者将恶意代码藏匿于看似普通的DOC文档与PDF文件中，利用工作人员对常见文件格式的信任，伺机窃取政府、军事、电信、能源等机构的系统凭证、机密文件等敏感数据。

案例二：伪装成“学生”的间谍

2025年6月，国家安全部通报一起典型案例。国内某知名大学前沿科技领域专家杨教授收到境外人员伪装成“学生”发送的邮件，附件是加密的Word简历，密码标注在邮件正文中，诱导杨教授打开。杨教授警惕性极高，及时上报，经技术鉴定，该Word文档内置境外间谍情报机关专研的木马程序。万幸的是，杨教授在日常科研工作中严格遵守保密管理要求，并未在该计算机中存储任何敏感信息，避免了失泄密情况的发生。

二、常见攻击手法剖析

攻击者利用用户对Word和PDF的信任，精心构造了两种主要诱饵：

1. 嵌入恶意宏的Word文档

   • 手法：攻击者将恶意宏代码嵌入文档，伪装成会议通知、合同等。

   • 诱导：用户打开后，会提示“启用宏才能正常显示”。

   • 后果：一旦点击“启用内容”，宏代码将自动执行，解密释放恶意载荷，植入后门，实现远程控机，全程静默无提示。

2. 伪装成PDF的可执行文件

   • 双后缀伪装：文件名看似“xxx.pdf”，实际是“xxx.pdf.exe”。图标显示为PDF，用户双击后实则运行可执行程序。

   • 恶意伪装：将恶意.desktop文件伪装成PDF，用户误点后触发隐藏命令，下载窃密程序。

三、关键防范措施建议

网络窃密无孔不入，工作人员的一次疏忽点击，都可能导致国家秘密全盘失守。请广大师生员工务必强化保密意识，落实以下防范措施：

1. 提高风险意识，严控邮件与文档

   • 禁用宏功能：立即禁用Office软件默认宏执行功能，仅允许受信任、已签名的宏运行。

   • 严查附件：严禁打开陌生邮件附件中的Word文档。若确需打开，必须先核实发件人身份，确认无风险后，务必关闭宏功能再浏览，坚决不点击“启用内容”。

2. 规范文件操作，警惕PDF陷阱

   • 核查后缀：接收PDF文件时，先查看文件名后缀，警惕“pdf.exe”等双后缀文件。

   • 安全打开：避免双击直接打开，建议通过正规PDF阅读器并开启安全模式，禁止自动运行嵌入式程序。

   • **拒绝不明来源：不接收陌生来源、无明确用途的PDF文件，尤其是压缩包中的PDF附件。

3. 强化终端防护，落实安全排查

   • 定期排查：组织终端安全排查，重点查找并删除如SystemProc.exe等已知恶意程序。

   • 监控启动项：实时监控注册表启动项异常写入，清除后门自启配置。

   • 技术防御：部署动态沙箱等安全防护工具，对可疑文档进行深度查杀。

结语

保密工作无小事。面对日益复杂的网络环境，我们必须时刻绷紧保密之弦，警惕每一份陌生文档，杜绝“指尖上的泄密”，共同筑牢国家秘密安全防线。

本文根据公开权威风险提示与案例通报整理，旨在提升安全意识，请广大师生员工结合实际加强防范。

编辑：李桂平
一审：杨   恒
二审：曹守富
三审：侯全军