假 IT 人员走进律所：勒索攻击正在把门禁也变成入口

Google 和 FBI 这次提醒的反常点，不是又有一个勒索团伙盯上律所。

反常的是，攻击者可能不只躲在邮件后面。他们会把人送到办公室门口，冒充 IT 支持人员，接触员工电脑，再用 USB 设备或远程访问工具拿走数据。

根据 Google 6 月 5 日发布的报告，以及 FBI 此前警报，Silent Ransom Group 在今年 1 月至 5 月攻击了数十家受害机构，重点包括美国律所。被窃数据包括合同、社保号等个人信息，以及财务和税务记录。

我的判断是：这不是所有勒索攻击都转向线下入侵。证据还支撑不了这个说法。更准确地说，这类攻击正在变成“社工 + 物理接触 + 数据泄露勒索”的混合模式。

对律所和专业服务机构来说，风险已经逼近前台、门禁和外包 IT 流程。

这次攻击的核心：不是先锁文件，而是先拿数据

Silent Ransom Group 这类攻击，容易被放进“勒索软件”这个大筐里。但它和传统加密勒索有一个关键差异：筹码不一定是锁住系统，而是偷走敏感数据。

Google 报告和 FBI 警报提到，攻击者会冒充 IT 支持人员。部分案例中，他们进入办公室，接触员工设备，通过 USB 或远程访问工具窃取资料。

之后的勒索重点，是威胁泄露数据。如果受害机构不配合，攻击者可能把数据放到自己的泄露网站，或威胁通知员工、客户和合作方。

这对律所尤其麻烦。律所电脑里不只有文件，还有委托关系、案件材料、客户身份信息和交易细节。系统停机可以恢复，客户信任被打穿，修起来更慢。

这个差异很重要。它决定了防守重点不能只放在“能不能恢复备份”。还要问一句：数据有没有已经被拿走。

攻击链更像一次“正常服务流程”

这类攻击难防，不是因为技术一定多高明，而是因为它看起来像真实工作。

Google 报告提到，攻击者会假扮公司 IT 支持，用“处理安全问题”或“协助数据迁移”等理由取得信任。之后，他们可能引导目标加入屏幕共享会话。

工具未必陌生。可能是单独下载的屏幕共享应用，也可能是 Zoom、Microsoft Teams 等常见办公软件里的共享功能。

这就是它的危险处。

律所、会计师事务所、咨询公司平时本来就会和外包 IT、软件供应商、客户系统支持打交道。大型项目或案件期间，临时排障、迁移材料、开放权限，也不是稀罕事。

攻击者钻的就是这条缝：流程看起来合理，但身份没有被独立核验。

Google Mandiant 首席技术官 Charles Carmakal 曾对 TechCrunch 表示，Mandiant 过去也调查过植入内鬼、贿赂员工或进入建筑物协助网络攻击的案例。所以，线下参与网络攻击并非第一次出现。

这次值得重视的地方在于，现场接触被更系统地接进了社工链条。电话、邮件、屏幕共享、远程访问、门禁，开始被连成一个服务流程。

换句话说，攻击者不一定要“攻破”系统。他们可以让员工帮忙把门打开。

管理层和风控团队该改的，是验证流程

这件事最直接影响两类人。

一类是律所和专业服务机构管理层。你们要看的不是再买一套安全软件，而是现有流程有没有让陌生人顺利碰到员工电脑。

现场 IT 支持是否必须有工单？外包人员到访是否能被前台独立核验？员工能不能通过公司内部通讯录或固定渠道确认对方身份？这些问题，比“员工有没有看过安全培训 PPT”更实在。

另一类是企业安全与 IT 风控负责人。接下来要把远程支持、屏幕共享和访客管理放到同一张图里看。

可以先查三件事：

这会带来成本。外包 IT 的响应速度可能变慢，前台登记会更繁琐，员工也会抱怨流程卡。

但这正是现实约束。安全流程如果只写在制度里、不嵌进工单和门禁，遇到一个会说行话的“IT 支持”，很容易失效。

目前还不能把 Silent Ransom Group 描述成由某国政府支持。公开信息也没有披露具体受害律所名称、赎金金额，或足以说明所有勒索攻击都在走向线下的证据。

能看清的是另一件事：高敏数据机构的边界已经不只在云账号、邮箱和终端上。前台能不能拦人，员工敢不敢挂断可疑电话，IT 支持能不能被二次核验，都在变成安全问题。

这也是这次警报最值得认真看的地方。

以前讲勒索攻击，重点常在备份、补丁和终端防护。现在，攻击者可能先穿上 IT 支持的外衣，再走到会议室门口。

门开了，后面的技术防线就会变薄。