Ландшафт угроз для малого и среднего бизнеса в 2026 году: от фишинга и мошенничества до поддельных инструментов ИИ

В 2026 году малый и средний бизнес остается привлекательной мишенью для злоумышленников — как операторов массовых кампаний, так и тех, кто пытается проникнуть в крупные предприятия через доверительные отношения. При этом небольшим компаниям часто не хватает ресурсов и зрелых политик кибербезопасности для эффективного противодействия постоянно эволюционирующим угрозам.

Эксперты «Лаборатории Касперского» сходятся во мнении, что информирование малых и средних предприятий о релевантных для них киберугрозах поможет им выстраивать более эффективные стратегии защиты. В преддверии Международного дня малого и среднего бизнеса, который отмечается 27 июня, мы публикуем анализ актуальных на 2026 год угроз для небольших компаний по всему миру с примерами реальных атак.

Основные выводы

• За первые четыре месяца 2026 года решения «Лаборатории Касперского» зафиксировали более 33 300 кибератак на малые и средние предприятия, замаскированных под популярные инструменты ИИ, — это почти в пять раз больше, чем в 2025 году, и на 39% превышает число атак, использующих в качестве приманки офисные приложения и сервисы для совместной работы, рассматриваемые в настоящем исследовании.
• Популярные мессенджеры и коммуникационные сервисы остаются наиболее распространенной приманкой: мы зафиксировали почти 415 тысяч атак с использованием поддельных приложений для переписки и видеозвонков.
• Злоумышленники следят за трендами: среди ИИ-инструментов, чаще всего используемых в качестве приманки, оказались Claude и OpenClaw (бывший ClawdBot/MoltBot), получившие широкое распространение в 2026 году.
• Мошенники распространяют поддельные инструменты ИИ, чтобы похищать средства у бизнеса и перехватывать доступ к аккаунтам организаций в социальных сетях.
• Большинство предложений в даркнете о продаже первоначального доступа в корпоративные инфраструктуры касаются малого и среднего бизнеса. Это может объясняться тем, что небольшие компании, как правило, защищены слабее крупных корпораций, но при этом часто выступают их доверенными подрядчиками.

Вредоносное и потенциально нежелательное ПО, маскирующееся под популярные сервисы

Мы изучили данные Kaspersky Security Network, чтобы оценить, как часто вредоносные и нежелательные файлы маскируются под легитимные приложения, которые могут применяться в малом и среднем бизнесе. Kaspersky Security Network — это система обработки обезличенных данных, которые пользователи решений «Лаборатории Касперского» предоставляют добровольно. Для подготовки этой части отчета мы проанализировали только обезличенные данные, полученные от пользователей решений «Лаборатории Касперского» для малого и среднего бизнеса по всему миру.

Согласно опросу Совета по малому бизнесу и предпринимательству (SBE Council), владельцы небольших компаний продолжают активно внедрять искусственный интеллект (ИИ) и цифровые технологии. Злоумышленники прекрасно понимают, какой шумихой окружено все связанное с ИИ, и используют это в своих целях. В частности, они активно маскируют киберугрозы под популярные ИИ-сервисы.

С января по апрель 2026 года решения «Лаборатории Касперского» зафиксировали 33 352 атаки на малый и средний бизнес, в которых вредоносное или потенциально нежелательное ПО для ПК было замаскировано под пять популярных ИИ-сервисов. Количество таких атак увеличилось почти пятикратно по сравнению с предыдущим годом. Это наглядная демонстрация тренда на злоупотребление доверием к широко распространенным ИИ-платформам и сервисам, особенно таким популярным, как Claude. Эксперты «Лаборатории Касперского» напоминают, что следует загружать приложения только из официальных источников и обязательно проверять, для каких платформ они предназначены.

Доля атак на малый и средний бизнес, в которых вредоносное или потенциально нежелательное ПО имитировало пять популярных легитимных ИИ-приложений, рассматриваемых в настоящем исследовании, в первые четыре месяца 2025 и 2026 годов

За первые четыре месяца 2026 года исследователи «Лаборатории Касперского» также обнаружили более 1100 уникальных образцов вредоносного или потенциально нежелательного ПО, атаковавшего малый и средний бизнес под видом пяти популярных ИИ-приложений, что на 21% выше аналогичного показателя за тот же период 2025 года. Эти образцы в основном представляли собой разные типы троянцев и схожих зловредов, в том числе способные загружать на скомпрометированные устройства и запускать другое вредоносное ПО. Троянские программы маскируются под безвредные файлы, чтобы обманом заставлять пользователей устанавливать их. Их возможности могут варьироваться в зависимости от типа троянца. Например, они могут красть, удалять, блокировать, изменять или копировать пользовательские данные, и представляют серьезную угрозу для бизнеса.

Ландшафт угроз постоянно развивается и пополняется новыми приманками. Например, за первые четыре месяца 2026 года решения «Лаборатории Касперского» заблокировали сотни атак, в которых вредоносное или потенциально нежелательное ПО для компьютеров было замаскировано под OpenClaw (ранее известный как Clawdbot или Moltbot).

Другие «ловушки» для малого и среднего бизнеса: поддельные мессенджеры и офисное ПО

Мы также изучили, какие еще приложения злоумышленники используют в качестве приманок для атак на малый и средний бизнес. Например, с января по апрель 2026 года решения «Лаборатории Касперского» заблокировали 414 736 атак, в которых вредоносное или потенциально нежелательное ПО для ПК было замаскировано под популярные инструменты коммуникации, рассматриваемые в настоящем исследовании. Количество таких атак изменилось лишь незначительно в сравнении с прошлым годом, из чего следует, что приманки в виде поддельных приложений для общения по-прежнему эффективны и остаются серьезной киберугрозой.

Доля атак на малый и средний бизнес, в которых вредоносное или потенциально нежелательное ПО имитировало четыре популярных инструмента коммуникации, рассматриваемых в настоящем исследовании, в первые четыре месяца 2025 и 2026 годов

Поддельные офисные приложения и платформы для совместной работы также остаются популярными приманками в атаках на малый и средний бизнес. Согласно телеметрии «Лаборатории Касперского», с января по апрель 2026 года было обнаружено более 24 тысяч атак, в которых вредоносное или потенциально нежелательное ПО для ПК было замаскировано под такие программы.

Доля атак на малый и средний бизнес, в которых вредоносное или потенциально нежелательное ПО имитировало шесть популярных офисных приложений и инструментов для совместной работы, рассматриваемых в настоящем исследовании, в первые четыре месяца 2025 и 2026 годов

В 2026 году злоумышленники стали чаще распространять поддельные ИИ-сервисы, отодвинув на второй план традиционные офисные инструменты и средства для совместной работы. И, как отмечают эксперты «Лаборатории Касперского», чем более на слуху конкретный инструмент, тем выше шанс столкнуться с подделками в Сети.

Мошенники, выманивающие у жертв учетные данные и деньги

В 2026 году исследователи «Лаборатории Касперского» наблюдали широкий спектр фишинговых и скам-кампаний, нацеленных на организации и предпринимателей. Мошенники заманивают пользователей на сайты несуществующих финансовых сервисов, инструментов на базе ИИ и другие фальшивые платформы с целью кражи учетных данных, личной информации и денежных средств.

В следующем примере злоумышленники замаскировались под банк, который якобы предлагает услуги для бизнеса (в других подобных схемах — бизнес-кредиты). Предпринимателей заманивают на мошеннический сайт, где им предлагают ввести данные для открытия бизнес-счета. Перечень запрашиваемых данных зависит от схемы, но может включать имя, адрес электронной почты, номер телефона, номер социального страхования, дату рождения и адрес проживания. В дальнейшем мошенники могут использовать эту информацию в других своих схемах или выставить на продажу в даркнете.

Если вы перешли на подобный сайт, не торопитесь вводить какие-либо данные. Для начала внимательно изучите его. Существует ли вообще такая финансовая организация? Как давно создан сайт? Проверьте данные WHOIS и почитайте отзывы пользователей, прежде чем вводить какую-либо информацию на странице.

Пример мошеннической страницы, нацеленной на предпринимателей

Как и авторы вредоносного и нежелательного ПО, мошенники используют ИИ-сервисы для привлечения потенциальных жертв. Например, мы обнаружили мошеннический сайт ИИ-сервиса, якобы созданного для подрядчиков. Согласно тексту на мошеннической странице, этот инструмент может помочь им с расчетами, счетами-фактурами и расписанием. Однако на практике в подобных схемах после оплаты подписки пользователи обычно ничего не получают, а мошенники просто присваивают их деньги.

Пример мошеннической страницы с рекламой ИИ-инструмента

Бизнес-аккаунты в социальных сетях и мессенджерах остаются привлекательной целью для киберпреступников и в 2026 году. В рамках одной из схем фишеры рассылали поддельные уведомления о проблемах с бизнес-страницей компании. В них говорилось, что система проверки одной из социальных сетей обнаружила действия, которые серьезно нарушают Стандарты сообщества и Правила размещения рекламы. Чтобы избежать перманентной блокировки бизнес-страницы, владельцам предлагали заполнить форму апелляции и указать личный и рабочий адреса электронной почты, номера телефонов, а также название бизнес-страницы и пароль от аккаунта. Таким образом злоумышленники выманивали учетные данные. Чтобы усыпить бдительность пользователей и выглядеть убедительнее, мошенники также отправляли жертвам выдуманный код апелляции.

Угрозы по электронной почте: поддельные онлайн-документы и эксплуатация легитимных платформ

Электронная почта остается одним из наиболее распространенных векторов атак на организации, включая малый и средний бизнес. В 2026 году злоумышленники часто использовали легитимные платформы для рассылки мошеннических писем. Таким образом они пытаются убить сразу двух зайцев: обойти традиционные почтовые фильтры и воспользоваться доверием жертв к авторитетным сервисам. Мы также выявили множество схем, нацеленных на корпоративных пользователей, в которых мошенники используют в качестве приманки поддельные онлайн-документы или несуществующие встречи.

В одной из недавно обнаруженных схем злоумышленники разослали поддельное уведомление об онлайн-документе, замаскированное под письмо от OneDrive. Жертве предлагалось нажать на кнопку для получения доступа к документу, которая на самом деле открывала фишинговый сайт, выманивающий конфиденциальные данные у пользователей. Чтобы письмо выглядело как настоящее, злоумышленники попытались усыпить бдительность жертвы дополнительной оговоркой: Этот объект зашифрован и размещен внутри вашего безопасного облачного периметра. Кроме того, они потрудились распарсить адрес электронной почты получателя и встроить извлеченные оттуда данные в текст поддельного уведомления, чтобы письмо выглядело как стандартное оповещение от подобного сервиса: Организация [название компании на основе домена адреса электронной почты] успешно загрузила новый файл для [имя пользователя из адреса электронной почты].

Пример фишинговой схемы с фейковыми онлайн-документами

Киберпреступники пытаются выманивать конфиденциальную информацию у жертв и под другими предлогами, например, выдумывая проблемы с соблюдением нормативных требований. В примере ниже злоумышленники выдавали себя за представителей Apple. В поддельном уведомлении говорилось, что Apple выявила проблему с соблюдением нормативных требований в кампаниях Google Ads, которые направляют трафик на страницы с описанием продуктов Apple и имеют отношение к аккаунту продавца, принадлежащему жертве. Однако кнопка в письме вела на фишинговый сайт, где пользователей обманом заставляли раскрыть конфиденциальные данные.

Пример поддельного уведомления о проблеме с соблюдением нормативных требовани

Еще одна примечательная схема кражи учетных данных от корпоративной электронной почты начинается с рассылки приглашений на несуществующую встречу. Она реализуется в два этапа. На первом этапе корпоративный пользователь получает электронное письмо с приглашением на фиктивную встречу. После нажатия кнопки «Принять приглашение на встречу» (Accept Meeting Invitation) пользователь перенаправляется на легитимную страницу Zoom Docs (старое название Zoom Canvas). На втором этапе жертве предлагается перейти по гиперссылке с текстом «Нажмите здесь, чтобы принять участие во встрече» (Click Here to Accept Meeting), которая ведет на фишинговую страницу.

Пример электронного письма с несуществующей встречей

Страница Zoom Docs, содержащая фишинговую ссылку

Вредоносное ПО также активно распространяется по электронной почте. В 2025 году физические лица и корпоративные пользователи получили более 144 млн вредоносных и потенциально нежелательных вложений в электронных письмах — на 15% больше, чем в предыдущем году.

По нашим наблюдениям, темы и тексты вредоносных писем могут выглядеть относительно безобидными и незамысловатыми. В приведенном ниже примере злоумышленники обращались в компанию с просьбой предоставить лучшее ценовое предложение на прикрепленные к письму позиции. Однако вложенный файл на самом деле содержал троянец.

Пример вредоносного электронного письма

Продажа доступа к корпоративной инфраструктуре: публикации в даркнете

Оценивая активность киберпреступников, эксперты Kaspersky Digital Footprint Intelligence проанализировали сотни публикаций с предложениями первоначального доступа к корпоративным инфраструктурам, размещенных на даркнет-форумах с января по апрель 2025 и 2026 годов. При этом, как отметили наши аналитики, одно сообщение могло содержать сразу несколько предложений о продаже доступа к различным потенциально скомпрометированным компаниям.

Пример публикации на форуме в даркнете

Брокеры первоначального доступа продают точки входа в скомпрометированные корпоративные инфраструктуры, например, через RDP или веб-шеллы. В своих постах они могут указывать сведения о регионе, где расположены потенциально скомпрометированные компании, об их отрасли и выручке, а также о типе предоставляемого доступа. Злоумышленники, оплатившие такой доступ, впоследствии могут использовать его в различных целях, например для развертывания программы-вымогателя, кражи конфиденциальной корпоративной информации или других видов мошенничества. Стоимость первоначального доступа на даркнет-форумах может зависеть от выручки, отрасли и местоположения потенциально скомпрометированной компании, а также от уровня привилегий. Например, учетные записи с правами администратора обычно стоят дороже, так как предоставляют злоумышленникам более широкие возможности.

Согласно нашему исследованию, увеличилось количество публикаций с предложениями первоначального доступа к компаниям всех масштабов, расположенным на Ближнем Востоке (рост на 53% по сравнению с прошлым годом), в Африке (рост на 40%) и Латинской Америке (рост на 17%). Между тем количество публикаций, связанных с европейскими компаниями, сократилось на 34%. По мнению экспертов «Лаборатории Касперского», это снижение можно частично объяснить тем, что наше исследование совпало по времени с закрытием одного из даркнет-форумов, где публиковались объявления о продаже данных компаний из региона. Количество публикаций, связанных с компаниями из Азиатско-Тихоокеанского региона, также незначительно снизилось (на 4%), но второй год подряд остается на стабильно высоком уровне.

В то же время количество публикаций без явного указания региона сократилось в 2026 году на 56% по сравнению с предыдущим годом. Как предполагают аналитики «Лаборатории Касперского», причина может заключаться в том, что предложения брокеров первоначального доступа становятся более целевыми и индивидуальными.

Доля публикаций с предложениями первоначального доступа с разбиением по размеру бизнеса

В рамках исследования эксперты «Лаборатории Касперского» отнесли к малому бизнесу компании с годовой выручкой до 50 млн долл. США, а к среднему — компании с годовой выручкой от 50 млн до 1 млрд долл. США. За основу для такого разбиения мы взяли глобальную классификацию бизнеса.

Согласно исследованию, в начале 2026 года доля публикаций на даркнет-форумах с предложениями первоначального доступа к потенциально скомпрометированным предприятиям малого бизнеса была выше, чем доли публикаций с предложениями доступа к средним, крупным или некоммерческим организациям. Однако эта доля снизилась в первые четыре месяца 2026 года по сравнению с аналогичным периодом 2025 года. Доля публикаций, касающихся средних организаций, на протяжении двух лет также оставалась значительной. В совокупности публикации с предложениями первоначального доступа к корпоративным системам малых и средних организаций составляют более половины всех проанализированных публикаций на даркнет-форумах.

При этом в части публикаций брокеры первоначального доступа не указывали выручку компаний, из-за чего было невозможно определить размер организации.

Доля публикаций с предложениями первоначального доступа с разбиением по размеру бизнеса, январь–апрель 2025 года

Доля публикаций с предложениями первоначального доступа с разбиением по размеру бизнеса, январь–апрель 2026 года

Эксперты «Лаборатории Касперского» отмечают, что несмотря на преобладание предложений по малому бизнесу, злоумышленников может больше интересовать средний бизнес, поскольку такие компании более доходные, чем малые, но могут быть не так хорошо защищены, как крупные организации.

Кроме того, малый и средний бизнес также может становиться мишенью в рамках атак через доверительные отношения, позволяющих злоумышленникам в конечном счете проникать в более крупные компании. Согласно глобальному отчету Kaspersky Security Services, доля атак через доверительные отношения среди векторов начального проникновения увеличилась с 12,7% в 2024 году до 15,5% в 2025 году. Это опровергает распространенное мнение о том, что малые и средние предприятия не представляют интереса для злоумышленников. Компаниям любого размера необходимо понимать ландшафт киберугроз, соблюдать правила кибербезопасности, внедрять соответствующие защитные решения и постоянно повышать осведомленность сотрудников.

План действий по киберзащите для малых и средних предприятий

Предприятия малого и среднего бизнеса могут снизить риски и обеспечить непрерывность работы, инвестируя в комплексные решения по кибербезопасности и повышая осведомленность сотрудников. Для защиты от постоянно меняющегося ландшафта угроз компаниям рекомендуется соблюдать следующие правила:

1. Определите правила доступа к корпоративным ресурсам, таким как учетные записи электронной почты, общие папки и онлайн-документы. Поддерживайте списки доступа в актуальном состоянии и своевременно отзывайте доступ, когда сотрудники покидают компанию.
2. Регулярно создавайте резервные копии важных данных, чтобы обеспечить сохранность корпоративной информации в случае чрезвычайных ситуаций.
3. Установите четкие правила использования внешних сервисов и ресурсов. Составьте подробный порядок выполнения таких задач, как внедрение нового программного обеспечения, которые предусматривают согласование с IT-отделом и другими ответственными руководителями. Разработайте краткие и понятные рекомендации по кибербезопасности для сотрудников, уделив особое внимание управлению учетными записями и паролями, защите электронной почты и безопасному просмотру веб-сайтов. Хорошо продуманная программа обучения позволит сотрудникам получить необходимые знания и научиться применять их на практике.
4. Повышайте осведомленность сотрудников в области безопасности. Проводите специализированные тренинги, чтобы научить персонал выявлять потенциальные угрозы и реагировать на них, а также отслеживайте прогресс в обучении. В этом организациям может помочь платформа Kaspersky Automated Security Awareness Platform, которая формирует устойчивые навыки кибербезопасного поведения в любых командах с помощью интерактивных онлайн-модулей и симуляции фишинговых кампаний.
5. Внедряйте специализированные решения по кибербезопасности с учетом вашего бюджета, размеров и отраслевых требований, уделяя особое внимание масштабируемости и простоте интеграции.
   1. Kaspersky Small Office Security Premium — это простое в использовании решение для защиты малого бизнеса от продвинутых угроз, которое также предоставляет вашим сотрудникам доступ к тренингам по повышению осведомленности в области безопасности, что делает его идеальным для микробизнеса.
   2. Малым и средним предприятиям с более зрелым IT-отделом стоит рассмотреть решение Kaspersky EDR для бизнеса Оптимальный, разработанное специально для растущих организаций и обеспечивающее защиту в реальном времени, с расширенными возможностями по обнаружению угроз, базовым расследованием инцидентов и автоматизированным реагированием на них.
6. Защитите свой бизнес от угроз, распространяемых по электронной почте. С этим поможет Kaspersky Security для почтовых серверов — это решение, которое обеспечивает безопасность корпоративной переписки, защищает от спама, всех форм фишинга, компрометации корпоративной почты, атак с применением QR-кодов и других угроз.
7. Используйте специализированные решения, такие как Kaspersky Digital Footprint Intelligence, чтобы отслеживать появление корпоративных учетных данных, утечек информации или сайтов-двойников в поверхностной и глубокой сети, а также в даркнете. Малые и средние компании с ограниченным бюджетом на IT-безопасность могут обратиться к поставщику управляемых услуг безопасности (MSSP), чтобы получить комплексную защиту от цифровых рисков в формате выгодной подписки.