AI与协作工具：2025年网络攻击者如何瞄准中小企业

网络攻击者通常将中小型企业（SMB）视为更容易的目标，认为其安全措施不如大型企业完善。事实上，通过承包商发起的攻击（也称为信任关系攻击）仍然是入侵企业网络的三大方法之一。由于中小企业通常比大型企业的防护较弱，这使它们对机会主义网络罪犯和复杂威胁行为者特别有吸引力。

与此同时，AI驱动的攻击变得越来越普遍，使得网络钓鱼和恶意软件活动更容易准备和快速调整，从而扩大了攻击规模。此外，网络安全法规正在收紧，给中小企业增加了更多的合规压力。

提升安全态势从未如此关键。卡巴斯基重点介绍了每个中小企业都应了解的关键攻击向量，以保持防护。

恶意软件和潜在不受欢迎应用程序（PUA）如何伪装成流行服务

卡巴斯基分析师利用卡巴斯基安全网络（KSN）的数据，探索了恶意和不需要的文件及程序伪装成中小企业常用合法应用的频率。KSN是一个处理选择加入的卡巴斯基用户自愿共享的匿名网络威胁相关数据的系统。本研究仅分析了来自卡巴斯基中小企业解决方案用户的数据。研究聚焦于以下应用：

• ChatGPT
• Cisco AnyConnect
• Google Drive
• Google Meet
• DeepSeek
• Microsoft Excel
• Microsoft Outlook
• Microsoft PowerPoint
• Microsoft Teams
• Microsoft Word
• Salesforce
• Zoom

仅在2025年1月至4月期间，近8,500名中小企业用户遭遇了网络攻击，其中恶意软件或PUA被伪装成这些流行工具。

在检测到的威胁中，模仿Zoom的独特恶意和潜在不受欢迎文件数量最高（1652个），Zoom是广泛使用的视频会议平台。这占所有检测到的独特文件的近41%，比2024年增加了14个百分点。Microsoft Office应用程序仍然是频繁被模仿的目标：Outlook和PowerPoint各占16%，Excel占近12%，而Word和Teams分别占9%和5%。

2024年和2025年模仿九大最流行合法应用的独特文件份额比较（下载）

2024年和2025年威胁格局的比较揭示了一个明显转变：随着AI服务的日益流行，网络攻击者越来越多地将恶意软件伪装成各种AI工具。根据我们的分析，模仿ChatGPT的独特恶意文件数量增长了115%，在2025年前四个月达到177个。这导致该工具在最被模仿应用中的份额增加了三个百分点。DeepSeek是2025年才推出的大型语言模型，立即出现在被模仿工具列表中。

2025年需要关注的另一种网络犯罪策略是越来越多地使用协作平台品牌来诱使用户下载或启动恶意软件和PUA。如上所述，伪装成Zoom的威胁份额增加了14个百分点，达到1652个独特文件，而Microsoft Teams和Google Drive分别增加了超过三个和一个百分点，案例数分别为206和132。这种模式可能反映了远程工作和地理分布式团队的常态化，这使得这些平台成为各行业业务运营的组成部分。

攻击者显然在利用这些服务的流行度和可信度来提高其活动的成功率。

模仿合法应用的独特恶意和不需要文件总数略有下降，从2024年的5,587个降至2025年的4,043个。

2025年影响中小企业部门的主要威胁类型（下载）

2025年针对中小企业的主要威胁包括下载器、木马和广告软件。

列表领先的是下载器，这些是潜在不受欢迎的应用程序，旨在从互联网安装额外内容，通常不会明确告知用户正在下载什么。虽然这些工具本身并非恶意，但攻击者经常利用它们向受害者设备传递有害负载。

接下来是木马。这些恶意程序执行未经授权的操作，如删除、阻塞、修改或复制数据，或干扰计算机和网络的正常运行。木马是最普遍的恶意软件形式之一，网络攻击者继续在广泛的恶意活动中使用它们。

广告软件也进入了前三名。这些程序设计用于在受感染计算机上显示广告或将促销网站替换为浏览器的默认搜索引擎。广告软件通常与免费软件或共享软件捆绑在一起， effectively serving as the price for using the free software。在某些情况下，木马会静默下载并安装广告软件到受害者机器上。

其他常见威胁类型包括DangerousObject、Trojan-Dropper、Backdoor、Trojan-Downloader、HackTool、Trojan-PSW和PSW-Tool。例如，我们最近发现了一个涉及名为“TookPS”的Trojan-Downloader的活动，该活动通过模仿合法远程访问和3D建模软件的虚假网站进行分发。

诈骗者和网络钓鱼者如何诱骗受害者交出账户和资金

我们继续观察到针对中小企业的广泛网络钓鱼活动和诈骗。攻击者旨在窃取各种服务的登录凭据，从交付平台到银行系统，或操纵受害者向他们发送资金。

为此，网络攻击者使用各种诱饵， often imitating landing pages from brands commonly used by SMBs。一个例子是针对Google商业账户的网络钓鱼尝试。诱饵以在X上推广公司为承诺，要求受害者首先使用其Google账户登录专用平台，凭据最终将落入网络攻击者手中。

另一个虚假登录页面模仿了一家提供商业贷款的银行：“Global Trust Bank”。由于多个国家存在具有该名称的合法组织，此网络钓鱼尝试可能看起来可信。攻击者试图以有利的商业贷款条件吸引用户——但只有在受害者提交其在线银行凭据后， giving the criminals access to their accounts。

我们还看到了一系列针对中小企业的网络钓鱼电子邮件。在我们系统检测到的一个最近案例中，攻击者发送了一封 allegedly from DocuSign（电子文档签名服务）的虚假通知。

中小企业甚至可能成为经典尼日利亚诈骗的目标。在一个最近的例子中，发件人声称代表一位来自土耳其的富裕客户，该客户想将3300万美元转移到国外以 allegedly avoid sanctions，并邀请收件人处理资金。在尼日利亚诈骗中，诈骗者 typically cajole money。他们可能 later request a relatively small payment to a manager or lawyer compared to the amount originally promised。

除了这些威胁之外，中小企业每天还会收到数百封垃圾邮件。有些承诺有吸引力的电子邮件营销或贷款交易；其他提供声誉管理、内容创建或潜在客户生成等服务。总的来说，这些优惠旨在反映小型企业的典型需求。毫不奇怪，AI也进入了垃圾邮件文件夹——提供自动化各种业务流程的服务。

我们还看到垃圾邮件发送者提供可疑交易，如以100美元购买超过40万家企业的数据库，据称用于销售公司的B2B产品，或操纵评论平台上的评论。

安全提示

中小企业可以通过投资全面的网络安全解决方案和提高员工意识来降低风险并确保业务连续性。实施 robust measures such as spam filters, email authentication protocols, and strict verification procedures for financial transactions and the handling of sensitive information 至关重要。

实现网络弹性的另一个关键步骤是 promote awareness about the importance of comprehensive security procedures and ensuring they are regularly updated。定期的安全培训会议、强密码实践和多因素认证可以显著降低网络钓鱼和欺诈的风险。

还值得注意的是，通过搜索引擎搜索软件是一种不安全的做法，应在组织中禁止。如果您需要实施新工具或更换现有工具，请确保它们从官方来源下载，并由您的IT团队集中安装。

中小企业网络安全行动计划

• 定义企业资源的访问规则，如电子邮件账户、共享文件夹和在线文档。监控并限制访问关键公司数据的人数。保持访问列表最新，并在员工离开公司时及时撤销访问。使用云访问安全代理来监控和控制员工在云服务中的活动，并执行安全策略。
• 定期备份重要数据，以确保在紧急情况或网络事件中保留企业信息。
• 建立使用外部服务和资源的明确指南。创建 well-defined procedures for coordinating specific tasks, such as implementing new software, with the IT department and other responsible managers。为员工制定简短、易于理解的网络安全指南，特别关注账户和密码管理、电子邮件保护和安全网页浏览。一个全面的培训计划将 equip employees with the knowledge they need and the ability to apply it in practice。
• 实施专业的网络安全解决方案，提供对云服务的可见性和控制，如卡巴斯基Next。