AI与协作工具:2025年网络攻击者如何瞄准中小企业
网络攻击者通常将中小型企业(SMB)视为更容易的目标,认为其安全措施不如大型企业健全。事实上,通过承包商发起的攻击(也称为信任关系攻击)仍然是入侵企业网络的三大方法之一。由于中小企业通常比大型企业的防护更弱,这使得它们对机会主义网络犯罪分子和复杂威胁行为者特别有吸引力。
与此同时,AI驱动的攻击变得越来越普遍,使得网络钓鱼和恶意软件活动更容易准备和快速调整,从而扩大了攻击规模。此外,网络安全法规正在收紧,给中小企业增加了更多的合规压力。
提升安全态势从未如此关键。卡巴斯基重点介绍了每个中小企业都应了解的关键攻击向量以保持防护。
恶意软件和潜在不受欢迎应用程序(PUA)如何伪装成流行服务
卡巴斯基分析师利用卡巴斯基安全网络(KSN)的数据,探讨了恶意和不需要的文件及程序伪装成中小企业常用合法应用的频率。KSN是一个处理选择加入的卡巴斯基用户自愿共享的匿名网络威胁相关数据的系统。本研究仅分析了来自卡巴斯基中小企业解决方案用户的数据。研究聚焦于以下应用:
- ChatGPT
- Cisco AnyConnect
- Google Drive
- Google Meet
- DeepSeek
- Microsoft Excel
- Microsoft Outlook
- Microsoft PowerPoint
- Microsoft Teams
- Microsoft Word
- Salesforce
- Zoom
仅在2025年1月至4月期间,近8,500名中小企业用户遭遇了恶意软件或PUA伪装成这些流行工具的网络攻击。
在检测到的威胁中,模仿Zoom(广泛使用的视频会议平台)的独特恶意和潜在不需要文件数量最高(1652个),占所有检测到的独特文件的近41%,较2024年增加了14个百分点。Microsoft Office应用程序仍然是频繁的模仿目标:Outlook和PowerPoint各占16%,Excel占近12%,而Word和Teams分别占9%和5%。
2024年和2025年模仿九大最流行合法应用的独特文件份额对比(下载)
2024年与2025年威胁格局的比较揭示了一个明显转变:随着AI服务的日益普及,网络攻击者越来越多地将恶意软件伪装成各种AI工具。根据我们的分析,模仿ChatGPT的独特恶意文件数量增长了115%,在2025年前四个月达到177个。这导致该工具在最受模仿应用中的份额增加了三个百分点。DeepSeek是一个仅在2025年推出的大型语言模型,立即出现在被模仿工具列表中。
2025年需要警惕的另一种网络犯罪策略是越来越多地使用协作平台品牌来诱使用户下载或启动恶意软件和PUA。如上所述,伪装成Zoom的威胁份额增加了14个百分点,达到1652个独特文件,而Microsoft Teams和Google Drive分别增加了超过三个和一个百分点,案例数分别为206和132。这种模式可能反映了远程工作和地理分布式团队的常态化,使得这些平台成为各行业业务运营的组成部分。
攻击者显然在利用这些服务的受欢迎度和可信度来提高其活动的成功率。
模仿流行服务的恶意文件名
| 服务 | 2024 | 2025 | 2025 vs 2024 |
|---|---|---|---|
| Zoom | 26.24% | 40.86% | +14.62 p.p. |
| Microsoft Teams | 1.84% | 5.10% | +3.25 p.p. |
| ChatGPT | 1.47% | 4.38% | +2.9 p.p. |
| DeepSeek | 0 | 2.05% | – |
| Google Drive | 2.11% | 3.26% | +1.15 p.p. |
模仿合法应用的独特恶意和不需要文件总数略有下降,从2024年的5,587个降至2025年的4,043个。
2025年影响中小企业部门的主要威胁类型(下载) 2025年针对中小企业的主要威胁包括下载器、木马和广告软件。
列表首位是下载器,这些是潜在不需要的应用程序,设计用于从互联网安装额外内容,通常未明确告知用户正在下载什么。虽然这些工具本身并非恶意,但攻击者经常利用它们向受害者设备传递有害负载。
接下来是木马。这些恶意程序执行未经授权的操作,如删除、阻止、修改或复制数据,或破坏计算机和网络的正常运行。木马是最普遍的恶意软件形式之一,网络攻击者继续在广泛的恶意活动中使用它们。
广告软件也位列前三。这些程序设计用于在受感染计算机上显示广告或将浏览器中的默认搜索引擎替换为促销网站。广告软件通常与免费软件或共享软件捆绑在一起, effectively serving as the price for using the free software。在某些情况下,木马会静默下载并将广告软件安装到受害者机器上。
其他常见威胁类型包括DangerousObject、Trojan-Dropper、后门、Trojan-Downloader、HackTool、Trojan-PSW和PSW-Tool。例如,我们最近发现了一个涉及名为“TookPS”的Trojan-Downloader的活动,该活动通过模仿合法远程访问和3D建模软件的虚假网站进行分发。
诈骗者和网络钓鱼者如何诱骗受害者交出账户和资金
我们继续观察到针对中小企业的广泛网络钓鱼活动和诈骗。攻击者旨在窃取各种服务的登录凭据,从交付平台到银行系统,或操纵受害者向他们发送资金。
为此,网络攻击者使用各种诱饵,通常模仿中小企业常用的品牌登录页面。一个例子是针对Google商业账户的网络钓鱼尝试。诱饵以承诺在X上推广公司为诱饵,要求受害者首先使用其Google账户登录专用平台,而凭据最终将落入网络攻击者手中。
另一个虚假登录页面模仿了一家提供商业贷款的银行:“全球信托银行”。由于多个国家存在具有该名称的合法组织,此网络钓鱼尝试可能显得可信。攻击者试图以有利的商业贷款条件吸引用户——但前提是受害者提交其网上银行凭据,使犯罪分子能够访问其账户。
我们还看到了一系列针对中小企业的网络钓鱼电子邮件。在我们系统检测到的一个最近案例中,攻击者发送了一封 allegedly来自DocuSign(电子文档签名服务)的虚假通知。
中小企业甚至可能成为经典尼日利亚诈骗的目标。在一个最近的例子中,发件人声称代表一位来自土耳其的富裕客户,该客户想将3300万美元转移到国外以 allegedly避免制裁,并邀请收件人处理资金。在尼日利亚诈骗中,诈骗者通常哄骗钱财。他们可能随后要求支付相对于最初承诺金额而言相对较小的经理或律师费用。
除了这些威胁之外,中小企业每天还会收到数百封垃圾邮件。有些承诺电子邮件营销或贷款的有吸引力的交易;其他提供声誉管理、内容创作或潜在客户生成等服务。总的来说,这些优惠旨在反映小型企业的典型需求。毫不奇怪,AI也进入了垃圾邮件文件夹——提供自动化各种业务流程的服务。
我们还看到垃圾邮件发送者提供可疑交易,例如以100美元购买超过40万家企业的数据库,据称用于销售公司的B2B产品,或操纵评论平台上的评论。
安全提示
中小企业可以通过投资全面的网络安全解决方案和提高员工意识来降低风险并确保业务连续性。实施强有力的措施至关重要,如垃圾邮件过滤器、电子邮件认证协议以及严格的财务交易和敏感信息处理验证程序。
实现网络恢复力的另一个关键步骤是提高对全面安全程序重要性的认识,并确保其定期更新。定期的安全培训课程、强密码实践和多因素认证可以显著降低网络钓鱼和欺诈的风险。
还值得注意的是,通过搜索引擎搜索软件是一种不安全的做法,应在组织中禁止。如果您需要实施新工具或更换现有工具,请确保从官方来源下载并由您的IT团队集中安装。
中小企业网络安全行动计划
- 定义企业资源访问规则,如电子邮件账户、共享文件夹和在线文档。监控并限制访问关键公司数据的人数。保持访问列表最新,并在员工离职时及时撤销访问权限。使用云访问安全代理来监控和控制员工在云服务内的活动并执行安全策略。
- 定期备份重要数据,以确保在紧急情况或网络事件中保留企业信息。
- 建立使用外部服务和资源的明确指南。创建明确定义的程序,用于协调特定任务,如实施新软件,与IT部门和其他负责经理合作。为员工制定简短、易于理解的网络安全指南,特别关注账户和密码管理、电子邮件保护和安全网页浏览。全面的培训计划将 equip员工所需的知识及其在实践中应用的能力。
- 实施专门的网络安全解决方案,提供对云服务的可见性和控制,如卡巴斯基Next。