夜雨聆风2026年中小企业威胁态势深度剖析:从钓鱼诈骗到虚假AI工具
导语
中小企业(SMB)始终是网络犯罪分子的高价值目标。2026年6月27日国际中小微企业日前夕,卡巴斯基发布了对中小企业威胁态势的年度分析报告。数据显示,伪装成AI工具的恶意攻击在过去一年中增长了近五倍,同时暗网论坛上针对中小企业的初始访问售卖帖占比超过半数。本文基于卡巴斯基安全网络(KSN)遥测数据,还原当前SMB面临的真实威胁图景。
关键发现
在2026年前四个月,卡巴斯基安全解决方案在中小企业用户中检测到超过33,300起伪装成流行AI工具的网络攻击,这一数字几乎是2025年同期的五倍,比同期伪装成办公协作软件的攻击数量高出39%。即时通讯工具仍然是最主要的攻击诱饵载体,约415,000起攻击使用了伪造的即时通讯或视频会议软件。
暗网论坛上的初始访问代理(IAB)帖子中,超过半数声称持有中小企业的网络入口权限。这些入口价格因企业收入、行业、地理位置和访问权限级别而异——管理员权限账户通常售价更高。
卡巴斯基专家指出,中小企业常被攻击者作为信任关系攻击(Trusted Relationship Attack)的跳板,用于渗透大型企业。2025年,信任关系攻击在初始入侵载体中的占比已从12.7%上升至15.5%。
核心攻击手法分析
一、虚假AI工具攻击
2026年1月至4月,卡巴斯基解决方案在SMB用户中检测到33,352起攻击,其中恶意软件或潜在不受欢迎程序(PUA)伪装成五款主流AI服务进行分发。与2025年同期相比,攻击数量增长近五倍。该趋势表明,攻击者正在利用用户对AI平台和服务的信任。
卡巴斯基研究人员在同一时期识别出超过1,100个伪装成AI应用的恶意软件/PUA独立样本,同比增加21%。这些样本主要为木马类恶意程序(Trojware),具备下载并执行其他恶意软件的能力,功能涵盖窃取、删除、加密、修改和拷贝用户数据等多种恶意行为。
值得关注的是,2026年新兴的AI工具Claude和OpenClaw(前身为ClawdBot/MoltBot)已成为攻击者常用的伪装对象。仅2026年前四个月,卡巴斯基就拦截了数百起伪装成OpenClaw的攻击。
二、伪造通讯与办公软件
伪装成流行通讯软件的恶意攻击仍然是SMB面临的最大威胁。卡巴斯基解决方案在2026年1至4月间拦截了414,736起此类攻击,数量与去年同期基本持平,表明该攻击模式持续泛滥。
伪装成办公应用和协作平台的威胁同样不容忽视。同期卡巴斯基检测到超过24,000起攻击,恶意软件或PUA伪装成特定办公应用程序。一个值得注意的趋势是:AI相关诱饵在2026年已超越传统虚假办公工具的流行度,成为攻击者更青睐的攻击载体。
### 三、钓鱼与诈骗活动
2026年,卡巴斯基观察到大量针对企业和创业者的钓鱼攻击和诈骗活动。诈骗者伪造金融服务和AI平台界面,窃取凭证、个人信息和资金:
- 虚假银行服务:诈骗者冒充银行,诱导企业主访问诈骗网站并提交姓名、邮箱、电话、社保号码等敏感信息以"开立企业账户"
- 虚假AI工具:诈骗网站宣传"面向承包商的AI工具",声称可辅助估价、开票和排程,实际收取订阅费后不提供任何服务
- 社交媒体账户劫持:钓鱼者发送伪造的Facebook合规通知,声称企业页面存在严重违规,诱导用户提交账户密码以"避免永久限制"
四、电子邮件威胁
邮件仍然是攻击SMB的主要渠道。2026年攻击者频繁结合邮件分发与正规第三方平台(如OneDrive、Zoom Docs)的利用以绕过邮件过滤器:
- 伪造OneDrive文档:攻击者发送伪造的OneDrive通知,声称"该文件已加密并托管在您的安全云边界内",按钮链接指向钓鱼页面
- 伪造合规问题:冒充Apple代表,声称发现与Google Ads活动相关的合规问题,诱导访问钓鱼网站
- 虚假会议邀请:两阶段攻击——第一阶段发送虚假会议邀请邮件,点击后跳转至合法的Zoom Docs页面;第二阶段在Zoom Docs页面中隐藏钓鱼链接
- 恶意附件:2025年个人和企业用户共遭遇超过1.44亿个恶意及潜在有害邮件附件,同比增长15%
五、暗网初始访问交易
卡巴斯基数字足迹情报团队分析了2025年和2026年1至4月暗网论坛上的数百个初始访问出售帖。主要发现包括:
- 中东地区的初始访问出售帖增长53%,非洲增长40%,拉丁美洲增长17%
- 欧洲地区相关帖子减少34%(与暗网论坛关闭有关)
- APAC地区帖子数量小幅下降4%,但连续第二年保持在显著水平
- 未注明地区的帖子减少56%,表明IAB帖子正变得更加精准和独特
按企业规模划分:小型企业(年收入低于5,000万美元)和中型企业(年收入5,000万至10亿美元)的初始访问出售帖合计占比超过50%。
影响范围
安全团队应重点关注以下风险敞口:
1. AI诱饵攻击激增:所有使用或关注AI工具的SMB员工均面临下载恶意软件的风险。攻击者通过搜索引擎优化投毒、社交媒体广告和钓鱼邮件分发伪装成AI工具的恶意程序。
2. 信任关系攻击风险:即使中小企业自身数据价值有限,它们作为大型企业供应链的一环,可能被用作渗透跳板。
3. 暗网信息泄露风险:企业凭证、客户数据和内部文档可能通过IAB交易流入暗网,进而被用于勒索软件攻击或商业欺诈。
4. 邮件安全盲区:依赖第三方云服务(如OneDrive、Zoom Docs)的钓鱼攻击可绕过传统邮件安全网关。
防护建议
1. 规范外部资源访问:为互联网服务、企业邮箱、共享文件夹和在线文档制定明确访问规则,员工离职后立即收回权限。
2. 定期备份关键数据:确保在紧急情况下可恢复企业信息。
3. 强化员工安全意识:建立简明易懂的网络安全指南,重点覆盖账户与密码管理、邮件防护和安全浏览,定期开展钓鱼模拟和在线安全培训。
4. 部署专业安全解决方案:
- 小微企业:选择易于使用、集成安全意识培训的端点防护方案
- 成长型企业:选择具备EDR/XDR调查和响应能力的进阶防护方案
- 邮件安全:部署机器学习驱动、具备多层次防护的邮件安全网关
5. 监控数字足迹:对企业在表面网、深网和暗网中的凭证泄露、数据泄露和仿冒网站进行持续监控。预算有限的企业可通过托管安全服务(MSSP)获取订阅式数字风险防护。
IOC速查
| 类型 | 指标/描述 |
|---|---|
| ------ | ----------- |
| 恶意软件类型 | Trojware(木马及类木马恶意程序), PUA(潜在不受欢迎程序) |
| 被滥用平台 | OneDrive, Zoom Docs, Facebook Business |
| 伪装AI工具 | Claude, OpenClaw(ClawdBot/MoltBot) |
| 邮件威胁类型 | 伪造文档通知, 虚假合规问题, 虚假会议邀请, 恶意附件 |
| 暗网威胁 | IAB初始访问买卖, RDP访问, Web Shell |
| 攻击趋势 | AI诱饵攻击年增长近5倍, 信任关系攻击占比15.5% |
原文来源:Securelist / Kaspersky
原文链接:https://securelist.com/smb-threat-report-2026/120357/
河南数安科技有限公司是一家专注网络安全和数据安全的高科技企业,河南省保密协会副会长单位,为客户推荐合适的产品、提供优质的服务、传递科学的知识、保护用户数据资产的安全,是我们的使命与追求,公司成立20余年来,为省内数百家企事业单位提供安全保护,保障他们数据和系统的保密性、完整性和可用性。
服务热线:0371-55905120
