点开那封邮件后，整个单位的秘密被人看光了——一起APT攻击的

点开那封邮件后，整个单位的秘密被人看光了——一起APT攻击的真实故事

南方沿海某省，上午九点半。

省直某机关的办公室里，财务处的刘姐正在处理邮件。收件箱里躺着一封新邮件，发件人显示是"省财政厅预算处"，主题是"关于2023年度预算调整的紧急通知"。

刘姐没有多想。省财政厅的文件她几乎每天都要处理，这个发件地址看着也眼熟。她点开了附件里的Word文档。

文档打开后，弹出了一个"安全警告"窗口，提示"该文档包含宏程序，是否启用内容"。刘姐随手点了"启用"——她以前也碰到过类似提示，点一下就好了，没什么大不了的。

文档内容确实是预算调整的格式，看起来像模像样的。刘姐仔细看了一遍，发现跟手头的工作没什么关系，就关掉了文件，继续做自己的事。

她没有注意到，就在她点击"启用"的那几秒钟里，一个看不见的程序已经被悄然安装到了她的电脑里。

同一天，办公室里不止刘姐一个人收到了类似的邮件。人事处的小吴收到的是"关于年度考核工作的通知"，规划处老郑收到的是"关于加强专项资金管理的意见"。邮件内容各不相同，但套路如出一辙——打着上级单位名义，附带着需要"启用宏"的Word文档。

当天下午，至少有五个人打开了这些附件。

这不是一次普通的病毒攻击。这是典型的高级持续性威胁攻击，英文缩写叫APT。

看不见的眼睛

APT攻击与普通病毒攻击的区别，就像是小偷溜门撬锁和间谍长期潜伏的区别。

普通病毒攻击追求快——感染电脑、窃取数据、勒索赎金，时间窗口短，手段粗暴。而APT攻击追求的是"长期潜伏、持续窃密、不被发现"。攻击者往往是专业的境外情报机构，有充足的经费、时间和技术能力。

在这次攻击中，那些"钓鱼邮件"只是第一步。当刘姐和其他人点击"启用宏"后，恶意程序就在他们各自的电脑里安了家。这个程序不会立刻大规模窃取文件——那样太大张旗鼓，容易被发现。它会先安静地搜集环境信息：电脑里有什么软件，连接了哪些网络，跟哪些服务器有通信记录。

然后，它开始寻找更有价值的目标。

一个月后，一封新的钓鱼邮件出现了。这次发件人变成了"省信息中心系统管理科"，主题是"关于统一更换办公系统密码的通知"。

"按上级要求，请全体职工在48小时内登录以下网站完成密码更新，超期未更新将影响日常办公。网址：http://www.gd-xxzx-gov.cn"

这个网站做得跟省信息中心的官方网站一模一样——一样的页面布局，一样的颜色风格，甚至一样的底部版权信息。唯一的区别是，域名里多了两个字母。

小吴是第一个上当的。他点开网站，输入了自己的办公系统用户名和密码。密码验证通过了——实际上，不管输入什么密码，这个伪造网站都会显示"密码更新成功"。

在接下来的两周里，又有十几个职工在这个伪造网站上输入了自己的账号密码。

至此，攻击者已经获得了双重成果：一是若干台终端电脑的控制权，二是一批能登录内部办公系统的有效账号。

窃密的后果

事情的暴露，是在攻击发生三个月后。

国家安全部门在一次例行网络巡查中，发现了一个境外服务器上存储着大量来自该省的政府内部文件。经过溯源，确认这些文件正是从那家省直机关泄露出去的。

经过全面排查，调查人员还原了整个攻击链条：从钓鱼邮件到木马植入，从信息搜集到伪造网站，从账号窃取到数据批量导出——每一步都经过精心设计，背后明显有专业情报机构的影子。

调查还发现了更令人担忧的情况：恶意程序不仅窃取了文件，还在这家单位的内部网络中建立了隐蔽的"跳板"，企图进一步渗透到与该单位有业务联系的其他政府部门。

这是一张正在织就的网，而刘姐、小吴、老郑和她他的同事们，无意中成了这张网的"编织者"。

常见问题解答

问：什么是APT攻击？
答：APT全称为Advanced Persistent Threat，即高级持续性威胁。通常由有组织的攻击者发动，具有目标明确、手段复杂、长期潜伏、难以检测等特点。政企单位和关键基础设施是APT攻击的主要目标。

问：如何识别钓鱼邮件？
答：注意发件地址是否与声称的发件方一致，检查域名是否有细微异常，对要求"启用宏"的附件保持警惕，收到涉及密码修改、账号验证等要求的邮件时，通过其他渠道与发件人确认。

问：办公电脑中毒了怎么办？
答：立即断开网络连接，拔掉网线或关闭WiFi，不要自行尝试删除文件，立刻联系单位的信息安全部门或专业安全机构进行处理。越早发现、越早断网，损失越小。

问：为什么APT攻击这么难防范？
答：因为攻击者使用的往往是专门定制的恶意程序和攻击手法，常规的杀毒软件和防火墙很难检测到。防范APT需要多层次的安全体系，包括网络隔离、权限管理、行为监测、安全意识培训等。

教训总结

这次APT攻击事件被通报后，全省开展了大规模的安全检查和安全意识培训。专家在培训会上总结了几条关键教训：

不要相信邮件里看到的"发件人"——发件人可以伪造，看起来像是领导或上级单位发的邮件，未必真是。邮件附件不是"看着没问题"就真的没问题，尤其是要求启用宏、启用脚本的文档文件。工作账号和密码不是在哪儿都能随便输的，输入之前一定要确认网址的真实性。

这家省直机关后来加强了网络安全投入，但这背后付出的代价是巨大的——不只是经济损失，还有大量内部文件外流对工作的实际影响。

在网络安全这场攻防战中，每一个使用电脑的人，都是防线的组成部分。一个人的一次疏忽，可能让整个单位甚至整个系统蒙受损失。这个道理，刘姐后来在培训会上讲给了新同事们听，她是含着眼泪讲的。

"那封邮件，我前后看了不到十秒钟。就这十秒钟，差点毁了我三十年的工作。"

在信息安全面前，没有"差不多"，没有"应该没事"，没有"就一次"。红线，就是红线。