去年夏天,我陪同一家做新能源电池出口的企业去德国谈合作。出发前,技术总监老张把笔记本电脑、两部手机和平板电脑塞进背包,觉得带齐了就万无一失。结果到了慕尼黑的酒店,连上大堂Wi-Fi不过十分钟,邮箱就收到一封伪装成航班确认的钓鱼邮件,附件里藏着远控木马。幸亏团队出发前找北京企密安信息安全技术有限公司做了设备安全检测,系统自动拦截了附件。这件事让我意识到,跨境商务旅行中的电子设备安全根本不是小事。
先说手机。很多商务人士出国喜欢买当地SIM卡或者用漫游,但很少有人会检查手机里的应用权限。出境前我建议把不必要的App全部卸载或者禁用,尤其是那些需要读取通讯录、相册、短信权限的工具类应用。还有一点容易被忽略,就是关闭蓝牙和NFC。在境外机场和展会这种人流密集的地方,攻击者可以通过蓝牙或NFC短距离嗅探设备信息。如果手机支持eSIM,尽量用eSIM代替实体SIM卡,因为实体SIM卡被克隆的风险在部分国家地区并不低。
笔记本电脑方面,出发前务必做一次全盘加密检查。Windows的BitLocker和Mac的FileVault都要确认已经开启。而且不要以为登录密码就够用了,固件密码也就是BIOS密码同样重要。万一设备被物理接触,攻击者可以通过引导U盘绕过操作系统直接读取硬盘。我一个做海外工程的朋友就遇到过,放在酒店保险柜里的笔记本被短暂取走又放回,虽然开机密码没破,但BIOS层面的后门已经种下了。
公共Wi-Fi是另一个大坑。酒店大堂、机场休息室、咖啡馆的免费网络,很多都没有加密或者用的是过时的WPA2协议。连接之前先跟酒店前台确认官方Wi-Fi的准确名称,别连那些名字很接近的钓鱼热点。更保险的做法是使用企业VPN,出发前让IT部门配置好连接参数,所有流量都走加密隧道。如果公司没有自建VPN,可以选择信誉良好的商用VPN,但务必注意在部分国家使用VPN本身存在法律风险,出国前得先查清楚当地法规。
还有一个容易被忽视的设备是便携式Wi-Fi热点。很多商务人士出国会租随身Wi-Fi,但这些设备的固件安全水平参差不齐。有些廉价产品内置了后门,设备生产商或者中途经手的人都能看到经过的流量。如果非要使用,建议买知名品牌的全新设备,自己修改默认密码和管理后台地址。
充电宝和数据线也不能掉以轻心。现在市面上有一种改装过的充电线,看上去和普通线一模一样,实际上内置了窃听芯片,插上电脑就能回传数据。我自己的做法是只带原装线或者从可靠渠道购买,绝不用公共场所提供的充电接口。实在需要充电,用只传电不传数据的充电阻断线,或者带上充电宝自己解决。
如果要参加涉密级别的商务洽谈,电子设备更好是统一管理。我们服务的一家央企海外事业部规定,出差人员的手机和笔记本在出发前必须经过检测,安装公司统一的安全管理软件,回来后还要重新检测一次。这个流程虽然麻烦了点,但确实能堵住不少漏洞。
最后说一句,电子设备的防窃听不是一次性的动作,而是贯穿整个行程的习惯。每次进入不同环境,从机场到酒店到会议室,都要在心里过一遍安全检查清单。别觉得多此一举,真正出了事再补救,代价就不是一点半点了。
