在機關、單位日常辦公中，接收郵件、查閱文檔是每日基礎工作。但你是否想過，一份看似平常的DOC或PDF文檔，可能正攜帶着竊取機密的惡意代碼？

下面，一起了解有關案例及相關防範措施。

典型案例

案例1

2026年1月22日，工業和信息化部網絡安全威脅和漏洞信息共享平臺（CSTIS）發佈風險提示，指出攻擊者將惡意代碼藏匿於看似普通的DOC文檔與PDF文件中，利用工作人員對常見文件格式的信任，伺機竊取政府、軍事、電信、能源等機構的系統憑證、機密文件等敏感數據。

案例2

2025年6月，國家安全部通報一起典型案例。國內某知名大學前沿科技領域專家楊教授收到境外人員僞裝成“學生”發送的郵件，附件是加密的Word簡歷，密碼標註在郵件正文中，誘導楊教授打開。楊教授警惕性極高，及時上報，經技術鑑定，該Word文檔內置境外間諜情報機關專研的木馬程序。萬幸的是，楊教授在日常科研工作中嚴格遵守保密管理要求，並未在該計算機中存儲任何敏感信息，避免了失泄密情況的發生。

Word、PDF如何成爲“竊密工具”？

攻擊者利用了用戶對Word和PDF文檔的信任，精心構造了兩種誘餌文件。

套路1：嵌入惡意宏的Word文檔——“啓用內容”就是“開門揖盜”

攻擊者將惡意宏代碼嵌入Word文檔，僞裝成會議通知、合同、補丁說明等常用文件，郵件標題仿官方口吻，極具迷惑性。用戶打開文檔後，會彈出“啓用宏才能正常顯示”的提示，一旦點擊“啓用內容”，宏代碼將自動執行：解密釋放惡意載荷，生成僞裝成合法程序的可執行文件，植入後門，實現開機自啓、遠程控機，全程靜默無提示。

套路2：僞裝成PDF的可執行文件——“雙擊打開”就會“引狼入室”

這種手法更具欺騙性，主要有兩種形式：一是“雙後綴僞裝”，文件名看似“xxx.pdf”，實際是“xxx.pdf.exe”，圖標顯示爲PDF，用戶雙擊後，看似打開PDF，實則運行可執行程序，釋放後門；二是“惡意文件僞裝”，將惡意.desktop文件僞裝成PDF，用戶誤點後，觸發隱藏命令，下載竊密程序。

強化保密意識

要注意這幾點↓↓↓

網絡竊密無孔不入，Word、PDF等日常辦公文檔，早已成爲境外組織的“竊密利器”。近年來的典型案例反覆證明：機關、單位工作人員一次疏忽的點擊、一個僥倖的操作，都可能導致國家祕密、工作祕密全盤失守，不僅會受到黨紀政務處分，情節嚴重的還將承擔刑事責任。

各機關、單位務必提高政治站位，強化保密責任落實；工作人員要繃緊保密之弦，警惕每一份陌生文檔，杜絕“指尖上的泄密”，共同築牢網絡保密安全防線，守護國家祕密安全。

提高風險意識，防範陌生郵件。立即禁用Office軟件默認宏執行功能，僅允許受信任、已簽名的宏運行；嚴禁打開陌生郵件附件中的Word文檔，若確需打開，先覈實發件人身份，確認無風險後，關閉宏功能再瀏覽，堅決不點擊“啓用內容”。

警惕PDF陷阱，規範打開流程。接收PDF文件時，先查看文件名後綴，警惕“pdf.exe”雙後綴文件，避免雙擊直接打開；通過正規PDF閱讀器打開文件，開啓安全模式，禁止PDF自動運行嵌入式程序；不接收陌生來源、無明確用途的PDF文件，尤其是壓縮包中的PDF附件。

強化終端防護，全面排查隱患。組織終端安全排查，刪除SystemProc.exe等惡意程序；實時監控註冊表啓動項異常寫入，清除後門自啓配置；部署動態沙箱等安全防護工具，深度查殺僞裝文檔。

來源：新華社微信公衆號綜合“保密觀”微信公衆號