在某国有一家规模不小的国防承包商,主要负责为军方开发通信设备和雷达系统。这家公司有几千名员工,业务遍及多个国家。表面上看起来技术实力很强,但就是在这种公司里,一个人力资源管理系统的安全漏洞成了一个被忽视的突破口。境外情报机构没有选择正面强攻这家公司的核心研发网络,而是挑了一个很多人根本不会注意到的目标下手——薪酬管理系统。在普通人的认知里,薪酬系统不过是发发工资、记记考勤的内部系统罢了,能有什么值钱的情报?但专业的间谍机构可不这么看。在他们眼中,薪酬系统是一本完整的员工花名册,里面存着每一个人的姓名、职位、派驻地点、薪资等级、家庭信息和联系方式。这些信息单拎出来看什么都不是,但组合在一起就是精准的人物画像集。
情报机构通过一次精心策划的网络攻击潜入这家公司的薪酬管理系统。攻击的技术难度并不算高,他们利用了系统的某个已知漏洞,这个漏洞在软件供应商发布安全公告时就已经公开了,但公司的IT运维部门因为人手不足迟迟没有打上安全补丁。就是这么一个看上去不起眼的延误,让整个系统的防护出现了缺口。攻击者从缺口潜入之后,没有马上搞出大动静来引起注意,而是在系统内部不声不响地建立了一个隐蔽的后门,确保自己以后可以随时自由进出。然后他们开始了有选择性的数据提取,目标非常聚焦——他们需要的是公司派驻海外的所有员工名单,包括每个人的姓名、职位、驻地、薪资待遇和当地联系方式。这些信息在薪酬系统里都有完整记录,因为驻外员工的结构跟国内员工不一样,需要单独处理一笔额外的海外津贴。
拿到名单之后,情报分析人员立刻进行了交叉比对分析。他们把外派员工的个人信息跟从公开渠道收集的社交媒体活动、新闻报道和税务记录逐一做了仔细比对。通过这种叫做开源情报分析的方法,他们很快筛选出了几个具有潜在策反价值的目标。什么样的人最容易成为情报机构的猎物呢?大致有这么几类:派驻在生活条件艰苦或者局势动荡地区的人、家庭经济负担比较重的人、在社交平台上经常抱怨公司和攻击领导的人、存在未公开债务记录的人、近期遭遇家庭变故的人,以及那种手握大量敏感信息但薪资水平并不匹配的技术骨干。这些人被情报机构统一划入了可接触名单。
目标锁定之后,策反就变得非常个性化。情报机构会根据每个人的具体情况量身定做接触方案。面对经济压力大的人,他们会安排一个看似偶然的高薪兼职机会,然后逐步引导对方用工作便利来换取内部信息。面对经常在社交平台抱怨公司的人,他们会先以知心好友的姿态建立情感共鸣,然后顺着情绪慢慢推动对方做出越界行为。这种基于个人画像的定点策反战术成功率很高,因为每套方案都是为具体目标量身定做的。
这件事对所有拥有驻外人员的企业都是一个响亮的警钟。薪酬管理系统看起来级别不高,但它里面沉淀的数据足够精细,这些数据对情报机构来说具有极高的二次挖掘价值。一个名字、一个手机号、一个驻地、一个家庭信息,单独看都是碎片,但拼接起来就是完整的画像。企业不能只关注核心研发系统的安全防护,周边系统同样需要纳入监控范围。驻外人员的安全保障也不只是买一份保险、发一本手册就完了,要进行行前培训、定期背景复查、驻地安全评估和异常行为干预。薪酬管理系统作为驻外人员关键信息的汇聚点,更应列入重点防护清单,定期做安全扫描和漏洞修补。敌人不一定从大门进来,有时候就是从不太被人注意的侧门进来的。
