Keylogger to rodzaj złośliwego oprogramowania typu spyware (czyli ukrywającego swoją obecność), które rejestruje to, co wpisujesz na klawiaturze podczas korzystania z komputera. Keylogger – co to dokładnie jest, jak go wykryć i usunąć? Dowiesz się tego, czytając poniższy artykuł.
Co to jest keylogger i jak działa?
Keyloggery to szczególnie podstępny rodzaj spyware, który może odczytywać i zapisywać Twoje kolejne naciśnięcia klawiszy na danym urządzeniu (chociaż niestety na tym jego możliwości się nie kończą). Pochodząca z języka angielskiego zbitka „keylogger” dobrze obrazuje działanie tego oprogramowania: „key”, czyli klawisz oraz „logger” – rejestrator. Jednakże keyloggery mogą także służyć cyberprzestępcom do podsłuchiwania i podglądania Cię za pomocą kamery albo rejestrowania dźwięku przez mikrofon twojego komputera i smartfona.
Czy każdy keylogger jest wirusem? Chociaż omawiamy je w kontekście złośliwego oprogramowania, keyloggery nie zawsze są nielegalne. Są one często używanym narzędziem w działach IT firm, gdzie stosuje się je do rozwiązywania problemów technicznych czy sieciowych. Jednocześnie niektórzy pracodawcy stosują je, aby z ukrycia kontrolować swoich pracowników. Są wreszcie wykorzystywane przez rodziców chcących monitorować aktywność swoich dzieci na komputerze oraz podejrzliwych pod względem wzajemnej wierności partnerów.
W każdym z powyższych przypadków to właściciel danego komputera używa na nim keyloggera, co jest w pełni legalne. Wiele z keyloggerów dostępnych w Internecie reklamuje się do tego typu użytkowania.
Jednakże nasze obawy budzi oczywiście przypadek, gdy keyloggery są używane przez osoby o złych intencjach (i oczywiście niebędące właścicielami danego urządzenia). Jako ofiara keyloggera zwykle przez długi czas nie wiesz o ataku na swoje urządzenie, a poczynione szkody mogą być dotkliwe:
- kradzież dowolnego wpisanego hasła,
- okresowe wykonywanie zrzutów ekranu,
- rejestrowanie odwiedzanych stron, wysłanych e-maili, rozmów na chacie i wrażliwych danych (numerów kart kredytowych, kont bankowych i PIN).
Po zapisaniu tych wszystkich informacji keylogger wysyła je do cyberprzestępcy. Dalej mogą być udostępniane osobom trzecim lub wykorzystywane w działaniach niezgodnych z prawem.
Keylogger sprzętowy i oprogramowanie typu keylogger
Keyloggery można przyporządkować do przynajmniej dwóch szerokich kategorii:
- keylogger sprzętowy – takie urządzenie może być podłączane bezpośrednio w obrębie danego komputera lub być wpięte jako niepozorna, trudna do zauważenia „wtyczka” między komputerem a klawiaturą. Tam też przechwytuje ona wszystkie sygnały nadawane przez klawiaturę. Oznacza to jednak, że cyberprzestępcy muszą mieć fizyczny dostęp do Twojego komputera, w dodatku gdy nie ma Cię w pobliżu, aby mogli umieścić keyloggera sprzętowego;
- oprogramowanie typu keylogger – tego typu keyloggery można zdecydowanie łatwiej umieścić i zainstalować na urządzeniu ofiary, z tego powodu są one zdecydowanie bardziej powszechne. W przeciwieństwie do innych typów złośliwego oprogramowania nie są one same w sobie bezpośrednim zagrożeniem dla zainfekowanego systemu. Zamiast tego z założenia działają w ukryciu, odczytując naciśnięcia klawiszy podczas normalnej pracy komputera.
Jak może dojść do zainfekowania keyloggerem?
Keyloggery atakują komputery stacjonarne, urządzenia z Androidem, iPhone’y i Macbooki w taki sam sposób, jak inne rodzaje złośliwego oprogramowania. Mogą zostać nieświadomie zainstalowane poprzez otwarcie pobranego z załącznika pliku – np. poprzez oszustwo wykorzystujące socjotechniki i sprytnie zaprojektowane ataki typu phishing (np. podszywanie się pod różnego rodzaju instytucje).
Taki plik może dotrzeć do Ciebie e-mailem, SMS-em, czatem, poprzez media społecznościowe, a nawet podczas wizyty na zwykłych, lecz w danym momencie zainfekowanych stronach, na których wykorzystano luki bezpieczeństwa do wymuszonego pobrania zainfekowanego pliku. Keyloggery dodatkowo rzadko działają same – trojan, który Cię nim zainfekował, może jednocześnie wprowadzić inne szkodliwe oprogramowanie do Twojego systemu (np. malware, spyware, ransomware lub inne wirusy).
Infekcje z użyciem keyloggerów sprzętowych mają miejsce, kiedy ktoś zyskuje dostęp do w zasadzie dowolnego odblokowanego urządzenia z odpowiednim portem – istnieje wiele takich potencjalnych scenariuszy. Powiedzmy, że oszust wpina keylogger USB do portu na klawiaturę w komputerze pracownika banku zajmującego się kredytami wykorzystując chwilę jego nieuwagi. W ten sposób uzyskuje dostęp do wszelkiego rodzaju danych finansowych, na których ten pracownik operuje w trakcie pełnienia obowiązków. Inny atrakcyjny cel dla takiego oszusta to działy księgowości w przedsiębiorstwach. Lepiej też nie używać publicznie dostępnych komputerów (np. w bibliotekach) do robienia zakupów online. Ostatnia osoba, która go używała przed Tobą, może być cyberprzestępcą i użyć Twoich poufnych danych.
Keyloggery na urządzenia mobilne
Chociaż nie ma keyloggerów sprzętowych na urządzenia mobilne, to zarówno te wyposażone w system Android, jak i iPhone’y są narażone na keyloggery w formie oprogramowania. Niektórzy ludzie uważają, że ponieważ ekran telefonu jest używany w roli klawiatury wirtualnej, to keyloggery są wobec nich bezsilne. Wystarczy jednak spróbować wyszukać takie programy na smartfony, by zobaczyć, jak wiele ich powstaje i jest gotowych do ściągnięcia za darmo. Możesz być pewien, że takie keyloggery mogą rozpoznawać, jakie ekrany są wyświetlane w danej chwili, by odczytać i zapisać wirtualne przyciski dotykane przez użytkownika.
Co więcej, kiedy keylogger zainfekuje smartfona, zbiera dane nie tylko o naciskanych klawiszach. Zrzuty ekranu e-maili, wiadomości, ekranów logowania, dostęp do kamery, mikrofonu, podłączonej drukarki czy ruchu sieciowego na urządzeniu – wszystko to jest w zasięgu keyloggerów. Mogą one nawet zablokować Ci dostęp do konkretnych stron.
Jeśli chodzi o metody infekcji to są one podobne, jak przy innych urządzeniach, a dodatkowo każdy, kto ma chociaż chwilowy dostęp do telefonu bez wiedzy właściciela, może dość szybko zainstalować na nim keyloggera. Podobnie, jak przy innych urządzeniach, także tutaj sam użytkownik może doprowadzić do infekcji swoją nieuwagą czy brakiem wiedzy.
Keyloggery – jak wykryć i je usunąć?
Czy są jakieś widoczne objawy tego, że Twój sprzęt jest nosicielem keyloggera? Odpowiedź brzmi – to zależy. Tak jak w przypadku większości złośliwego oprogramowania, najlepiej jest korzystać z dobrych programów antywirusowych, natomiast w biznesie warto postawić na bardziej kompleksowe rozwiązania, jak np. EDR – Endpoint Detection and Response, który stanowi jednocześnie pierwszą linię obrony przed keyloggerami. Taki anty keylogger to podstawa cyberbezpieczeństwa firmy, niezależnie od rodzaju prowadzonej działalności.
Keyloggery o niskim stopniu zaawansowania, mogą na różne sposoby ujawniać oznaki swojej obecności. Na sprzęcie mobilnym może to być zauważalnie gorsza jakość zrzutów ekranu. Na wszystkich urządzeniach może być odczuwalne wolniejsze działanie przeglądarek, opóźnienie ruchów myszy lub pojawiania się znaków przy naciskaniu klawiszy (a czasami nawet brak reakcji na naciskane klawisze). Krótko mówiąc – wszystko, co jest odmienne od naszych codziennych doświadczeń przy korzystaniu z urządzenia.
Gorzej sprawa wygląda przy bardziej „profesjonalnych” keyloggerach. One mogą nie dawać żadnych oznak i kamuflować się pod postacią zwykłych plików czy ruchu sieciowego. Niezależnie od rodzaju keyloggera najlepszym wyjściem jest regularne skanowanie urządzeń z pomocą wspomnianych programów zabezpieczających. Jednocześnie nowoczesne oprogramowanie jest w stanie natychmiast usuwać keyloggery, co zwłaszcza w przypadku dobrze ukrytego i zaawansowanego złośliwego oprogramowania, jest zwykle jedynym wyjściem.
Jak chronić się przed keyloggerami?
Najlepszym sposobem na uniknięcie keyloggera jest unikanie błędów, które najczęściej prowadzą do infekcji. Należy dbać, aby oprogramowanie zabezpieczające zawsze działało i było zaktualizowane. Aktualizacje systemów operacyjnych, aplikacji czy wyszukiwarek również są ważne.
Przede wszystkim jednak należy być czujnym i sceptycznym względem otrzymywanych wiadomości i powiązanych z nimi załączników, zwłaszcza gdy są to wiadomości, których się wcześniej nie spodziewałeś (nawet jeśli wydaje się, że pochodzą od znajomej osoby). Używane przez hasła powinny być długie, złożone i różnić się od siebie w różnych usługach. O tych i innych zasadach bezpieczeństwa szerzej mówimy na naszych szkoleniach z Cyber Awarness dla pracowników – wiedza na temat, bezpieczeństwa jest najlepszą prewencją przed wszelkiego rodzaju złośliwym oprogramowaniem.
Często zadawanym pytaniem w kontekście keyloggerów jest czy jeśli przechwytywane są naciskane klawisze, to czy klawiatura ekranowa chroni przed keyloggerem? Niestety tylko w bardzo ograniczonym stopniu – gdy chodzi o keyloggery sprzętowe. Typowy, działający na systemie Windows keylogger nie będzie miał problemu z takim zabezpieczeniem ze względu na możliwość wykonywania zrzutów ekranu przy każdym kliknięciu myszką.
Zdecydowanie najlepszą ochroną przed keyloggerami jest dobry antywirus. Jednak w przypadku firm najlepiej zainwestować w system typu EDR, który łączy:
- aktywne szukanie zagrożeń,
- stałe gromadzenie danych z urządzeń,
- analizę i wykrywanie zagrożeń w czasie rzeczywistym,
- automatyczną reakcję na zagrożenia,
- izolowanie i usuwanie zagrożeń.
Tylko tak kompleksowo działający system jest w stanie w pełni chronić firmę przed nawet najnowszymi keyloggerami.
