当“礼物”变成陷阱：恶意U盘为何仍在威胁企业安全

你可能觉得，把来路不明的U盘插进电脑是件很傻的事。但现实是，这种看似老套的攻击方式，至今仍在被黑客频繁使用，并且屡屡得手。近期，美国联邦调查局就发出警告，提醒企业提防伪装成礼物的恶意U盘。这背后不仅是简单的骗术，更反映了网络安全中一个顽固的人性弱点。

一场精心策划的“送礼”行动

根据美国联邦调查局在2022年初发布的警告，一个名为FIN7的黑客组织，正在有组织地向美国企业邮寄恶意U盘。他们的目标行业相当明确，主要集中在国防、运输和保险领域。

为了让这些“礼物”看起来合情合理，黑客们花了不少心思。有的包裹被伪装成来自美国卫生与公众服务部，附有说明称U盘内含有“重要的COVID-19指南”。另一些则模仿了电商平台的送货方式，将U盘放在装饰性的礼品盒里，并附上假冒的感谢信和礼品卡。这种活动至少从2021年8月就开始了，持续时间不短。

背后的操纵者：一个“创新”的犯罪集团

发动这场攻击的FIN7，并非等闲之辈。我的理解是，它是一个高度专业化的网络犯罪集团。有报道称，该组织通过各种金融黑客手段，累计窃取的金额已超过10亿美元，其复杂性和危害性可见一斑。

这个组织的“创新”之处在于，它不局限于单一的攻击模式。过去，它与一些知名的勒索软件家族存在关联。更令人惊讶的是，为了招募技术人才，它甚至曾创建一家虚假的网络安全公司作为掩护。这说明，他们不仅技术手段高超，在组织运营和伪装上也下了很大功夫。

为何老把戏依然有效？

一个核心问题是：为什么在安全意识普及的今天，还会有人中招？

关键在于人性中的好奇心和信任感。多项研究表明，当人们看到一个来路不明的U盘时，出于好奇而将其插入电脑的比例高得惊人。正因如此，一种被称为“丢弃”的技巧长期流行——黑客将恶意U盘故意丢在公司停车场等地方，等待有人捡起并插入电脑。

这种攻击方式的危害早有先例。例如，2008年五角大楼遭遇的一次严重网络入侵，最初就是由一个被感染的U盘引发的。黑客也曾尝试贿赂特定公司的员工，让他们使用恶意U盘在公司内部释放勒索软件。

我们能从中学到什么？

这一切都指向一个最基本的教训：对于来源不明的存储设备，保持警惕是唯一的选择。无论是伪装成政府通知、电商礼物，还是偶然捡到的“便宜”，都不要轻易将其连接至任何存有重要数据的设备。

企业也需要加强对员工的安全意识培训，明确告知此类威胁的存在和表现形式。毕竟，在网络安全领域，最坚固的防线往往始于最谨慎的个人习惯。