在某国一座核设施的外围,设置有高耸的围墙、多层电子围栏、红外感应系统和全天候巡逻的武装警卫。这些物理防护措施看起来牢不可破,但在这个真实的间谍案例里,最薄弱的环节并不是这些设施本身,而是一台普通的工作电脑和一次不经意的鼠标点击。这座核设施的警卫部门有一台工作电脑,专门用来管理安保巡逻排班系统,电脑上存储着整个核设施的地图、警卫分布和值班安排。有一天,一名值班警卫像往常一样打开自己的工作邮箱,看到了一封新邮件。邮件的发件人看起来是核设施安保设备的一家供应商,标题写的是关于安保系统安全更新的通知。邮件的内容非常正规,详细说明了需要安装的安全补丁,附上了一个看起来十分正规的下载链接。这名警卫完全没有怀疑,他觉得供应商发更新通知是常有的事,于是不假思索地点击了那个链接。
这一下点击,就成了整座核设施安全体系的突破口。那个链接根本不是什么安全更新,而是境外情报机构精心设计的一个钓鱼链接。情报机构提前做了充分的准备工作,专门调查了这座核设施使用的安保设备品牌和型号,甚至连供应商邮件的签名格式、字体颜色和客服电话都模仿得分毫不差。这么高的仿真度,就算是工作经验丰富的IT人员也不一定能一眼看出破绽,更不用说一名没有接受过专业网络安全培训的普通警卫了。警卫点击链接之后,表面上看起来跳转到了一个看似正常的下载页面,但就在那一瞬间,一个木马程序已经悄无声息地植入了他的工作电脑。木马一旦成功植入,就等于境外情报机构在这座核设施的安保系统内部安插了一个永久性的眼线。他们可以通过这个木马远程控制那台电脑,浏览电脑上存储的所有文件,监视键盘输入的每一个字符,甚至可以在不开电脑摄像头的情况下远程开启麦克风听取办公室内的对话。
从表面上看,警卫的电脑一切正常,他根本没有察觉到任何异常。但在他看不到的数字层面,木马程序正在疯狂地工作着,把电脑里存储的文件一份接一份地打包加密,然后通过隐蔽的网络通道发送到境外情报机构指定的服务器上。那么这台电脑里到底存了什么要命的东西呢?说出来让人倒吸一口凉气。电脑里存储着核设施的全套安保部署信息,包括但不限于:巡逻路线的详细地图和路径规划、各岗位警卫的轮班时间表和交接流程、每班人员的配备数量、监控摄像头的具体安装位置和拍摄角度、监控覆盖的盲区分布情况、电子围栏的开关时间节点和例行检修记录、应急预案的响应流程和队伍到位预估时间。简单来说,有了这些信息,就等于拿到了这座核设施的安保操作说明书。你什么时候换岗、哪一段路线巡逻密度低、哪个摄像头存在拍摄死角、紧急情况下救援力量需要多久才能到达现场,这些全都在木马发送出去的文件里写得清清楚楚。拥有了这些信息,境外情报机构等于拥有了这座核设施的电子钥匙,他们可以根据安保间隙来安排行动,避开所有警戒环节。
这种攻击方式的阴险之处在于,它不需要内部人员主动背叛,不需要花费大量金钱去收买,不需要暴力胁迫,不需要长时间的感情铺垫,只需要一封设计得足够逼真、发送时间拿捏得当的钓鱼邮件,就能在对方毫不知情的情况下取得巨大的情报收益。从警卫点击邮件到全部数据被窃取,整个过程可能只用了几个小时。而在那段时间里,这个值班警卫甚至还在电脑前面喝着咖啡等着下班,浑然不知自己这一下点击已经把整座核设施的安全底牌全部暴露在了对手面前。
这个案例告诉我们一个非常现实的道理:物理防护再严密,在网络安全面前也可能形同虚设。你可能花了几千万修建围墙、安装摄像头、布设感应系统、建立全天候巡逻制度,但只要有一台联网的工作电脑被植入了木马,所有这些物理安全部署的详细信息就能像打印出来的说明书一样整整齐齐地摆在对方手里。钓鱼邮件是网络间谍领域使用频率非常高、成功率也非常惊人的攻击手段之一。很多单位在物理安全上的投入非常大,但在网络安全教育和防护上的投入却相对不足。防范钓鱼邮件不能光靠口头上提醒几句"不要随便点陌生链接",必须从技术层面和管理制度上同步筑牢防线。比如:工作邮箱应该对外来链接和附件进行自动检测和隔离,所有系统更新必须通过内部管理渠道来推送而不是通过外网邮件来通知,涉密岗位的电脑应该严格限制外网访问权限,定期对全体员工进行网络安全演练并把演练成绩纳入考核。国家关键基础设施的安保,不只是围墙和巡逻队的事情了,电脑屏幕上的每一次点击,同样维系着整个国家的安全。
