某政府承包商的大楼里,一场关系重大的技术方案评审会正在召开。会议室内坐着公司的技术负责人、方案评审专家、客户代表等多方人员。大家对技术方案的各种细节进行了深入的讨论和评议,涉及的技术参数、投标价格、竞争对手分析等高度敏感的信息在会议室里面流转。会议期间,一名身穿保洁制服的阿姨推着清洁车进入了会议室。她用拖把在房间角落简单拖了几下,抹了抹桌面,倒了一下垃圾桶,全程没有和任何人交流。所有人都没有注意到她在进来的时候顺手在会议桌下方粘贴了一个微小的录音模块。这就是一起典型的利用伪装人员身份实施的商业间谍活动。
伪装成保洁人员其实是一种非常常见的社会工程学入侵手段。保洁人员在大多数人的认知里就是没有威胁的存在。一个阿姨进来拖地、倒垃圾、擦桌子,谁会多看一眼?谁会去阻止?这也正是攻击者利用这个角色做掩护的原因。他们不需要高超的黑客技术,不需要破解任何防火墙,只需要一套合身的工服和一把拖把,就能大摇大摆地进入最核心的区域。
清洁车也是经过精心设计的。普通清洁车可能只是装拖把水桶和垃圾袋的推车,但这次清洁车上的垃圾袋、清洁剂瓶子、抹布堆中间藏着一套完整的录音设备。录音模块可以连续录制数小时的内容,存储容量足够录制一整天的会议音频。安装在桌底的微型录音笔本身甚至不需要无线功能,就只在本地存储录音,结束后随人员撤出取走,不会发射任何信号,电磁扫描设备对此完全监测不到。这种断网物理录音的方式,被称为冷攻击模式。
泄密链条的运作方式是这样的。攻击方先确定承包商的技术评审会的时间安排和会议室位置。这个信息往往通过内部人员的社交网络或者公司对外公开的会议日程就能获得。然后安排经过培训的伪装人员穿戴好工服、携带改造过的清洁车,在会议期间按照正常的保洁路线进入会议室执行任务。进入后找机会在桌面底侧或者隐蔽角落粘贴录音模块。伪装人员完成一个简单的保洁动作后离开现场。录音模块在会议全过程中持续工作。会议结束后,伪装人员再次找机会进入会议室取走录音模块。录音文件被送到攻击方手中,通过语音分析和内容提取获得方案评审会上的所有核心信息。
政府承包商在技术方案评审阶段暴露出来的信息,影响的可能是一个大型政府项目的竞标结果、技术路线选择和后续多年合作的商业地位,其损失难以用数字衡量。
这起事件给所有接待外部人员频繁的企业和政府机构提了一个醒。第一,所有非本单位人员在核心区域的活动必须有安保人员全程陪同,尤其是保洁、维修、快递、外卖这些日常进出频繁的岗位。不能因为对方天天来就放松了管理。第二,核心会议室使用期间应该设立明确的外部人员禁入制度,包括保洁工作可以在会议开始前或者结束后进行,但不能在会议进行当中以任何理由进入。第三,会议室应当配置基础的防窃听检测设备,在进行重要会议之前对桌面底侧、座椅底部、花盆、装饰画等隐蔽位置做一次快速的物理检查。第四,加强员工的防间保密意识教育,对于在办公区出现的陌生面孔或者异常行为应该敢于质疑和报告。很多时候安全事件的发生不是因为对手的手段有多高明,而是因为我们自己给了他们太多的空子可以钻。一个伪装成保洁阿姨的录音者,只需要一次机会就能让你辛苦准备几个月的方案评估变成对手桌子上的一份阅读材料。
