ИИ и инструменты совместной работы: отчет об угрозах для малого и среднего бизнеса в 2025 году

Злоумышленники часто рассматривают малый и средний бизнес как более легкую цель, полагая, что уровень защиты таких организаций ниже, чем у крупных компаний. В этом контексте важно отметить, что атаки через подрядчиков, также известные как атаки через доверительные отношения, по-прежнему входят в тройку самых популярных методов проникновения в корпоративные сети. Поскольку малый и средний бизнес действительно в большинстве случаев менее защищен, чем крупные компании, он привлекает внимание как оппортунистов, так и организованных групп.

Атаки с использованием ИИ становятся все более распространенными, поскольку они облегчают подготовку и адаптацию фишинговых и вредоносных кампаний, позволяя увеличивать их масштаб. Тем временем вводятся нормативные акты с более строгими требованиями к кибербезопасности, что создает дополнительное давление на малый и средний бизнес.

Повышение киберзащищенности вашего предприятия никогда еще не было настолько важной задачей. В этом отчете специалисты «Лаборатории Касперского» выделили ключевые векторы атак, к которым должны быть готовы представители малого и среднего бизнеса.

Как вредоносное и потенциально нежелательное ПО маскируют под популярные сервисы

Чтобы определить, как часто вредоносные и нежелательные файлы или приложения имитируют легитимное ПО, популярное среди небольших и средних компаний, аналитики «Лаборатории Касперского» использовали данные Kaspersky Security Network (KSN). Kaspersky Security Network — это система обработки обезличенных данных, которыми пользователи добровольно делятся с «Лабораторией Касперского». В этом исследовании были проанализированы только данные, полученные от пользователей решений «Лаборатории Касперского» для малого и среднего бизнеса. Мы рассматривали угрозы, маскирующиеся под следующие программы:

• ChatGPT
• Cisco AnyConnect
• Google Drive
• Google Meet
• DeepSeek
• Microsoft Excel
• Microsoft Outlook
• Microsoft PowerPoint
• Microsoft Teams
• Microsoft Word
• Salesforce
• Zoom

Только с января по апрель 2025 года около 8500 пользователей из малого и среднего бизнеса подверглись кибератакам, в которых вредоносное или потенциально нежелательное ПО было замаскировано под эти популярные инструменты.

Среди обнаруженных угроз больше всего уникальных вредоносных и потенциально нежелательных файлов — 1652 — имитировали Zoom, широко распространенную платформу для видеоконференций, что составило около 41% от общего числа уникальных файлов. Это рост на 14 процентных пунктов по сравнению с 2024 годом. Программы Microsoft Office по-прежнему остаются популярной приманкой: Outlook и PowerPoint — по 16% каждая, Excel — почти 12%, а на Word и Teams приходится 9% и 5% соответственно.

Доля уникальных файлов с названиями, мимикрирующими под девять самых популярных легитимных программ, в 2024 и 2025 годах (скачать)

Сравнение ландшафта угроз в 2024 и 2025 годах указывает на явный сдвиг: растущая популярность ИИ-сервисов привела к тому, что злоумышленники все чаще маскируют вредоносное ПО под утилиты на основе ИИ. Согласно нашему анализу, количество уникальных вредоносных файлов, имитирующих ChatGPT, выросло на 115% и составило 177 за первые четыре месяца 2025 года. В результате доля этого инструмента в списке самых имитируемых приложений выросла на 3 процентных пункта. Кроме того, в этот список сразу же попала большая языковая модель DeepSeek, выпущенная в 2025 году.

Другая актуальная тактика злоумышленников в 2025 году заключается в том, чтобы обманным путем заставлять пользователей загружать или запускать вредоносное или потенциально нежелательное ПО под прикрытием брендов платформ для совместной работы. Как мы уже упоминали, доля угроз, маскирующихся под Zoom, выросла на 14 процентных пунктов, достигнув отметки 1652 уникальных файла, в то время как доли Microsoft Teams и Google Drive увеличились чуть более чем на 3 и 1 процентных пункта, что соответствует 206 и 132 файлам. Эта тенденция, по всей видимости, отражает нормализацию удаленной работы и географически распределенных команд, из-за чего эти платформы стали неотъемлемой частью бизнес-операций в разных отраслях.

Атакующие явно хотят воспользоваться популярностью этих сервисов и доверием к ним, чтобы повысить успешность своих кампаний.

Общее число уникальных вредоносных и нежелательных файлов, имитирующих легитимные программы, немного снизилось в 2025 году по сравнению с 2024 годом — с 5587 до 4043. Число файлов, затронувших российских пользователей, также незначительно снизилось и составило 2185 (против 2344 в аналогичный период 2024 года).

Основные виды угроз для малого и среднего бизнеса в 2025 году (скачать)

Среди самых опасных угроз для малого и среднего бизнеса в 2025 году — загрузчики, троянцы и рекламное ПО.

На вершине этого рейтинга находятся загрузчики — потенциально нежелательные программы, предназначенные для установки дополнительного контента из интернета, зачастую без явного информирования пользователя о том, что именно будет загружено. Хотя сами по себе такие загрузчики не являются вредоносными, злоумышленники часто используют их для внедрения своей полезной нагрузки на устройства жертв.

Следующие в рейтинге — троянцы. Эти вредоносные программы выполняют несанкционированные операции, такие как удаление, блокирование, изменение или копирование данных, а также могут нарушать нормальную работу компьютеров и сетей. Троянцы входят в число наиболее распространенных видов зловредов, и злоумышленники используют их в самых различных вредоносных кампаниях.

Третьим наиболее распространенным видом угроз является рекламное ПО. Эти программы предназначены для показа рекламы на зараженных компьютерах или замены поисковой системы браузера по умолчанию на рекламный сайт. Рекламное ПО часто поставляется в комплекте с бесплатными или условно-бесплатными программами, что является своеобразной «ценой» за использование такого программного обеспечения. В некоторых случаях троянцы скрытно загружают и устанавливают на компьютер жертвы рекламное ПО.

Среди других распространенных угроз встречаются следующие вердикты: DangerousObject, Trojan-Dropper, Backdoor, Trojan-Downloader, HackTool, Trojan-PSW и PSW-Tool. Например, недавно мы выявили кампанию со зловредом класса Trojan-Downloader под названием TookPS, который распространялся через поддельные веб-сайты легитимного ПО для удаленного доступа и трехмерного моделирования.

Как мошенники и фишеры обманом заставляют жертв отдавать деньги и предоставлять доступ к своим счетам

Мы продолжаем наблюдать широкий спектр фишинговых и мошеннических схем, нацеленных на малый и средний бизнес. Злоумышленники стремятся либо украсть учетные данные для входа в различные сервисы — от платформ доставки до банковских систем, — либо заставить жертву отправить им деньги.

В этом им помогают различные приманки, часто имитирующие страницы брендов, которыми обычно пользуются представители малого и среднего бизнеса. Один из примеров — попытка фишинга, направленная на бизнес-аккаунты Google. В качестве наживки жертве обещают прорекламировать ее компанию в соцсети X, но сначала требуют войти на специальную платформу через аккаунт Google, который в итоге попадает в руки злоумышленников.

Еще одна поддельная страница выдавала себя за банк, предлагающий кредиты для бизнеса, — Global Trust Bank. Поскольку реальные организации с таким названием существуют во многих странах, эта фишинговая приманка может показаться убедительной. Злоумышленники пытались заманить пользователей выгодными условиями кредитования бизнеса, но чтобы их получить, нужно ввести на странице свои учетные данные для онлайн-банкинга, в результате чего мошенники получали доступ к счетам.

Мы также наблюдали ряд фишинговых писем, нацеленных на малый и средний бизнес. В одном из недавних случаев, зафиксированных нашими системами, злоумышленник отправил поддельное уведомление якобы от DocuSign — сервиса для подписания электронных документов.

Предприятия малого и среднего бизнеса могут стать жертвами даже классических «нигерийских» мошенников. В одном из недавних случаев отправитель утверждал, что представляет состоятельного клиента из Турции, желающего перевести за границу 33 млн долл. США, чтобы обойти санкции, и просил помощи в этой финансовой махинации. В «нигерийских» аферах мошенники обычно выманивают деньги. Впоследствии они могут потребовать от менеджера или юриста относительно небольшую выплату по сравнению с обещанной суммой.

Помимо перечисленных угроз, малый и средний бизнес ежедневно подвергается бомбардировке сотнями спам-сообщений. Некоторые из них содержат заманчивые предложения по e-mail-маркетингу или кредитам; другие предлагают такие услуги, как управление репутацией, создание контента или генерация лидов. В целом эти предложения составлены с учетом типичных потребностей малого бизнеса. И, вполне ожидаемо, в спам также попадает множество предложений по автоматизации различных бизнес-процессов с помощью ИИ.

Нам также встречались спамеры с сомнительными предложениями: один, например, предлагал за 100 долл. США купить базу данных с более чем 400 тысячами предприятий, которая якобы могла бы пригодиться для продажи B2B-продуктов компании; другой предлагал услуги по накрутке отзывов на соответствующей платформе.

Рекомендации по защите

Предприятия малого и среднего бизнеса могут снизить риски и обеспечить непрерывность работы, инвестируя в комплексные решения по кибербезопасности и повышая осведомленность сотрудников. Необходимо внедрить надежные меры безопасности, такие как спам-фильтры, протоколы аутентификации электронной почты и строгие процедуры проверки при проведении финансовых операций и обработке конфиденциальной информации.

Еще один ключевой шаг на пути к киберустойчивости — повышение осведомленности о важности комплексных процедур безопасности и их регулярная актуализация. Плановые тренинги по безопасности, надежные пароли и многофакторная аутентификация могут значительно снизить риск фишинга и мошенничества.

Также стоит отметить, что поиск программного обеспечения через поисковые системы является небезопасной практикой и должен быть запрещен в организации. Если вам необходимо внедрить новые инструменты или заменить существующие, они должны быть загружены из официальных источников и централизованно установлены вашей IT-командой.

План действий по киберзащите для малых и средних предприятий

1. Определите правила доступа к корпоративным ресурсам, таким как учетные записи электронной почты, общие папки и онлайн-документы. Контролируйте и ограничивайте число лиц с доступом к важным данным компании. Поддерживайте списки доступа в актуальном состоянии и своевременно отзывайте доступ, когда сотрудники покидают компанию. Пользуйтесь брокерами безопасного доступа к облаку, чтобы отслеживать и контролировать действия сотрудников в облачных сервисах и обеспечивать принудительное соблюдение политик безопасности.
2. Регулярно создавайте резервные копии важных данных, чтобы обеспечить сохранность корпоративной информации в случае чрезвычайных ситуаций или киберинцидентов.
3. Установите четкие правила использования внешних услуг и ресурсов. Составьте детальные процедуры для таких задач, как внедрение нового программного обеспечения, которые предусматривают согласование с IT-отделом и другими ответственными руководителями. Разработайте краткие и понятные рекомендации по кибербезопасности для сотрудников, уделив особое внимание управлению учетными записями и паролями, защите электронной почты и безопасному просмотру веб-сайтов. Хорошо продуманная программа обучения позволит сотрудникам получить необходимые знания и научиться применять их на практике.
4. Внедрите специализированные решения по кибербезопасности, обеспечивающие видимость облачных сервисов и контроль над ними, например Kaspersky Endpoint Security Cloud.