警惕竊密陷阱：DOC與PDF成境外攻擊新載體

日常文件竟成竊密工具？Word與PDF的隱藏風險與防範對策

在日常辦公中，看似無害的 DOC、PDF 文件，可能早已被攻擊者植入惡意程式，成為竊取國家機密、工作秘密與敏感資料的關鍵載體。「保密觀」微信公眾號近期披露多起真實案例，揭示新型網絡竊密手法如何藉由常見文檔格式悄然滲透。

真實案例警示：兩起高風險竊密事件

案例一（2026年1月22日）：工業和信息化部網絡安全威脅和漏洞信息共享平台（CSTIS）發布風險預警指出，境外攻擊者將惡意代碼深度隱藏於常見 Word（.doc/.docx）及 PDF 文件中，利用使用者對「標準格式」的天然信任，針對政府、軍事、電信、能源等重點領域機構發動定向攻擊，目標直指系統憑證、內部通報、技術藍圖等高價值機密資料。

案例二（2025年6月）：國家安全部通報一起典型間諜竊密事件：某知名大學前沿科技領域楊教授收到一封偽裝為「學生求職郵件」的來信，附件為加密 Word 簡歷（.docx），密碼明文標註於郵件正文。雖楊教授高度警覺、立即上報，經技術鑑定確認該文件內嵌境外情報機構專用木馬，但因嚴格執行保密規定——未在涉密設備存儲任何敏感資料，最終成功阻斷失泄密鏈路。

Word 與 PDF 如何化身「數位陷阱」？

攻擊者並非依賴高深技術，而是精準利用人性弱點與軟體默認行為，設計出極具迷惑性的兩大套路：

套路一：嵌入惡意宏的 Word 文件——「啟用內容」= 開門揖盜

攻擊者將惡意宏（VBA）偽裝成會議通知、採購合同、系統補丁說明等日常文檔，郵件標題模仿官方語氣，大幅提升可信度。使用者打開後，彈出「必須啟用宏才能正確顯示內容」提示；一旦點選「啟用內容」，惡意宏即自動執行：解密並釋放遠程控制載荷、生成偽裝成合法進程（如 winlogon.exe）的可執行檔、植入持久化後門，實現開機自啟、鍵盤記錄、螢幕截圖與遠端操控，全程靜默無痕。

套路二：偽裝成 PDF 的可執行檔案——「雙擊打開」= 引狼入室

此類手法更具欺騙性，主要分兩種形式：

• 雙後綴偽裝：檔案名顯示為「報告.pdf」，實際完整檔名為「報告.pdf.exe」。Windows 預設隱藏已知副檔名，圖示亦顯示為 PDF 圖標；使用者雙擊後，表面開啟 PDF，實則直接運行惡意程式，瞬間部署後門。

• 惡意桌面檔案偽裝：將 Linux 系統的 .desktop 檔案或 Windows 的 .scr/.lnk 檔案偽裝成 PDF 附件，使用者點擊後觸發隱藏指令，自動從境外伺服器下載並執行竊密程式。

全方位防範建議：從意識到技術的關鍵行動

網絡竊密無孔不入。一次輕率點擊、一絲僥倖心理，都可能導致國家秘密、科研成果、核心數據全面失守。各機關單位須切實提升政治站位，壓實保密主體責任；全體工作人員務必繃緊「保密之弦」，杜絕「指尖上的洩密」。

具體落實措施

✓ 強化風險意識，嚴管陌生郵件：立即關閉 Microsoft Office 宏功能預設啟用設定；僅允許經數位簽章驗證、列入企業可信清單的宏執行。絕對禁止開啟來源不明郵件中的 Word 附件；確有業務需求時，務必先核實發件人身份、使用隔離環境開啟，並確保宏功能處於禁用狀態，堅決不點選「啟用內容」按鈕。

✓ 警惕 PDF 陷阱，規範開啟流程：接收 PDF 檔案時，第一時間檢查完整副檔名（右鍵→內容→詳細資料），嚴查「.pdf.exe」「.pdf.scr」等雙後綴可疑檔案；一律使用 Adobe Acrobat Reader DC 或福昕閱讀器等正規軟體開啟，並啟用「保護模式（Protected Mode）」與「禁止執行嵌入式 JavaScript」設定；拒絕接收無明確用途、來源不明的 PDF 檔案，尤其警惕壓縮包內夾帶的 PDF 附件。

✓ 加強終端防護，主動排查隱患：組織全量終端安全掃描，徹底清除 SystemProc.exe、winup.exe 等已知惡意程序；實時監控 Windows 註冊表 Run 鍵值異常寫入行為，清除非法自啟配置；全面部署具備動態沙箱分析能力的下一代終端防禦系統（EDR），對可疑文檔進行行為模擬與深度查殺，從源頭攔截偽裝型攻擊。