小型企业面临的三大网络安全威胁

在充斥着极其复杂的网络攻击的网络世界中——包括对软件供应链的有组织的攻击、国家指挥的对未发现的漏洞的利用以及对人工智能 (AI) 的新型恶意使用——小型企业被迫优先考虑不同类型的网络攻击：能够成功突破的类型。

由于缺乏充足的IT预算或人员配备齐全的网络安全部门，小型企业通常依赖自身少量的员工（包括实际上没有员工的个体经营者）来保障网络安全。这意味着，这些企业在网络安全方面最担心的，往往是最有可能对他们不利的事情。

以下是目前小型企业面临的三大网络安全威胁。这些威胁听起来可能很基础，甚至很粗暴，但它们之所以成为最大的威胁，正是因为它们非常有效。

1. 网络钓鱼

在网络钓鱼诈骗中，网络犯罪分子诱骗个人和企业交出敏感信息，例如信用卡号或重要在线账户的登录详细信息。

网络犯罪分子会通过发送伪装成大型企业（例如 Slack、Uber、FedEx 和 Google）合法通信的消息（例如电子邮件和短信）来实现这一目的。这些消息通常会警告收件人其帐户存在问题，例如需要更新密码、需要登录的政策变更或需要审批的延迟包裹。

然而，当受害者点击这些恶意邮件中的链接时，他们会被带到一个看似真实的网站，但该网站完全由网络犯罪分子控制。在相似的配色方案、公司徽标和熟悉的布局的诱惑下，受害者通过输入用户名和密码“登录”账户。实际上，这些用户名和密码会被直接发送给网站另一端的网络犯罪分子。

在网络钓鱼攻击中，用户的账户从来不会真正出现问题，公司也从来不会真正要求用户提供信息。相反，整个来回的攻击过程都只是一场骗局。

网络钓鱼虽然破坏力极大，但其更复杂的威胁在于其适应性。早期的网络钓鱼诈骗几乎完全通过电子邮件进行，而现代的网络钓鱼诈骗则可以通过恶意网站、短信、社交媒体，甚至移动应用程序下载来感染受害者。

根据最新的《2025 年恶意软件状况报告》，Malwarebytes 在 2024 年发现了超过 22,800 个 Android 钓鱼应用。这些 Android 应用伪装成 TikTok、Spotify 和 WhatsApp 等应用，在要求受害者登录时诱骗受害者交出相关的用户名和密码。

可以理解的是，一些小企业主可能会低估丢失 Spotify 和 TikTok 等消费工具登录凭证的威胁。但网络钓鱼的威胁因网络安全的另一个巨大问题而加剧，那就是太多个人和企业在多个账户上重复使用密码。这意味着，在网络钓鱼诈骗中被成功窃取的电子邮件登录凭证，也可能被用来访问小企业的财务账户、工资服务，甚至税务信息。

此外，如果黑客利用非法访问窃取客户数据，那么小企业可能还需要根据其所在州的规定承担发送数据泄露通知的费用。

如何保护业务：

为每个在线帐户使用唯一且强大的密码，并使用密码管理器存储和创建这些密码
在所有重要的商业账户上启用“多因素身份验证”，以便窃取密码的黑客无法仅通过用户名和密码访问账户
不要点击来自未知发件人的链接
如果有人通过电子邮件或在线消息要求您输入登录信息，请不要在电子邮件或任何指向您的链接中输入您的登录信息。请直接访问该网站。

2. 社交媒体账户接管

社交媒体不仅是推广许多小型企业的重要工具，它通常还可以成为整个企业的重要工具。

YouTube 视频创作者、Twitch 主播以及 TikTok 和 Instagram 上的生活方式博主实际上都是小企业主。他们生产产品，并像许多在线企业一样通过广告和赞助合作协议赚取收入。

如果任何社交媒体企业主因网络钓鱼诈骗或数据泄露而丢失了登录凭证，他们就可能会失去对整个业务的访问权限。

2023年，著名YouTube科技博主Linus Sebastian旗下公司Linus Media Group旗下的三个YouTube频道遭到黑客攻击。黑客劫持了这些频道，传播加密货币骗局，同时删除了该集团的一些旧视频。此次攻击与2022年发生的一起YouTube账户黑客事件颇为相似，当时黑客利用了2018年苹果首席执行官蒂姆·库克的一段采访视频，诱骗观众参与另一起加密货币骗局。

这两起事件都揭示了世界各地小企业面临的真正威胁。

社交媒体账户被黑客入侵不仅对内容创作者构成风险，对任何拥有合法在线受众的企业也构成风险。一旦诈骗者控制了任何企业的社交媒体账户，他们就可以以企业的名义向用户发送欺诈信息，并推广在线诈骗，这可能会在未来数年损害企业的声誉。黑客甚至可能在恢复访问权限之前窃取敏感信息。

虽然社交媒体黑客攻击通常是成功的网络钓鱼攻击的副产品，但网络犯罪分子也可以通过单独的数据泄露来非法访问社交媒体帐户。

黑客经常在暗网上从先前的数据泄露事件中购买用户名和密码。然后，他们使用这些登录凭证登录同一所有者的多个在线账户——例如，将一个被盗领英账户的用户名和密码输入到 QuickBooks、Shopify 和 Hubspot 的用户名和密码字段中。当个人和企业在不同账户之间重复使用密码时，黑客就找到了轻松入侵的途径。

如何保护业务：

为每个帐户使用唯一且强大的密码，并使用密码管理器存储和创建这些密码
在所有重要的商业账户上启用“多因素身份验证”，以便窃取密码的黑客无法仅通过用户名和密码访问账户
拒绝点击来自未知发件人的链接，避免网络钓鱼攻击
请勿下载任何来自未知发件人或意外邮件的附件。这些附件可能包含窃取密码、数据和多因素身份验证码的恶意软件。

3.勒索软件

勒索软件不仅仅是一种网络威胁，它还是一种生存威胁，威胁着锁定计算机系统、删除重要数据，并可能浪费数十万美元的恢复资金。

但由于大多数勒索软件新闻报道都集中在遭受破坏性攻击的大型数十亿美元公司上，许多精品企业可能会认为勒索软件团伙永远不会理会像他们这样的小组织。

实际上，勒索软件团伙并不关心受害者的规模、预算或资源，因为勒索软件本身已经变得越来越容易扩展和部署。

现代勒索软件团伙采用“勒索软件即服务”模式运作，勒索软件开发者将恶意软件出租给“附属机构”，如果这些附属机构成功发起攻击，就会将一小部分不义之财返还给勒索软件的顶层开发者。LockBit 曾是历史上最活跃的勒索软件团伙，其旗下至少有 194 个附属机构为其从事肮脏勾当。

虽然 LockBit 最常攻击的是大型企业集团和政府，但另一个名为 Phobos 的勒索软件即服务组织却非常乐意攻击较小的组织。

2024年，美国司法部指控一名名叫叶夫根尼·普季辛（Evgenii Ptitsyn）的俄罗斯公民涉嫌参与运营火卫一（Phobos）项目。起诉书披露，该勒索软件团伙的一名关联人员涉嫌勒索马里兰州一家医疗保健机构仅2300美元。起诉书中提到的其他受害者包括亚利桑那州一家营销和数据分析公司、康涅狄格州一所公立学校系统以及俄亥俄州一家汽车公司。

根据Malwarebytes业务部门ThreatDown 分析的数据，这些规模较小的受害者是 Phobos的主要收入来源。与其他勒索软件团伙在2023年向每位受害者索要高达100万美元甚至更多赎金的勒索软件团伙不同，Phobos 的运营商平均向受害者索要1,719美元，索要金额中位数仅为300美元。

如何保护业务：

阻止常见的入侵方式。 修补面向互联网的软件中已知的漏洞，并禁用或强化远程工作工具（如 RDP 端口和 VPN）的登录凭据。
预防入侵，阻止恶意加密。 在威胁渗透或感染终端之前，尽早阻止它们。使用始终在线的网络安全软件，可以防御漏洞利用程序和用于传播勒索软件的恶意软件。
创建异地离线备份。 将备份保存在异地离线状态，防止攻击者获取。定期测试备份，确保能够快速恢复关键业务功能。
不要遭受二次攻击。 隔离病毒爆发并阻止首次攻击后，必须清除攻击者的所有痕迹，包括其恶意软件、工具以及入侵方法，以避免再次遭受攻击。