Amikor a rosszindulatú programokra/vírusokra gondolunk, általában olyan rosszindulatú szoftvereket feltételezünk, amelyek megrongálják eszközünk operációs rendszerét, ellopják a tárolt adatokat, vagy megakadályozzák az adatainkhoz való hozzáférést. Ez a gondolkodás általában szemet huny a szobában lévő elefántról: a billentyűnaplózókról.
A billentyűnaplózók a rosszindulatú programok egyik legveszélyesebb típusa, ha nem a legveszélyesebbek. A keylogger célja, hogy ellopja fiókja jelszavait és pénzügyi adatait, ami közvetlenül pénzügyi és személyazonosság-vesztéshez vezet.
Amellett, hogy veszélyesek, a hagyományos rosszindulatú programok elleni védelmi intézkedések, például a víruskereső, nem elegendőek a billentyűnaplózók elleni védelemhez.
Ebben a cikkben mélyen elmerülünk a keyloggerek világában. Beszélni fogok arról, hogy mik ezek, és ami a legfontosabb, hogyan védheti meg magát ettől a alattomos és veszélyes típusú rosszindulatú programtól.
Tartalomjegyzék
Mik azok a Keyloggerek?
A keylogger alapvető funkciója a billentyűzet billentyűleütéseinek nyomon követése és rögzítése. Általában rejtett fájlban tárolja, amit a billentyűzet használatával gépel, majd elküldi a fájlt a hackernek e-mailben, vagy feltölti egy szerverre/webhelyre.
A hacker ezután az adatok segítségével ellophatja a bejelentkezéskor megadott jelszavakat és a hitelkártyaadatokat is. Célzott támadás során érzékeny információkat és vállalati terveket is ellophatnak.
Kétféle billentyűnaplózó létezik, szoftveres és hardveres billentyűnaplózó. Mindkettő információt lop, de különböző módon működik, és különböző megoldásokat igényel a védelem érdekében.
#1. Szoftver Keyloggers
Ezek a kulcsnaplózók leggyakoribb típusai, amelyeket általában nem célzott nagyszabású támadásokhoz használnak. Miután telepítették a számítógépre, a háttérben működnek, és adatokat rögzítenek és küldenek anélkül, hogy felfednék magukat.
Úgy vannak létrehozva, hogy Windows API vagy Windows Kernel használatával működjenek. A Windows API-alapú billentyűnaplózók úgy működnek, mint egy normál program, és általában úgy bújnak el, hogy legitim programként működnek. A Feladatkezelőben vagy a telepített programok listájában találhatja meg őket.
A Windows Kernel alapú keyloggerek magasabb jogosultságokkal rendelkeznek, és elrejtőzhetnek más Windows-folyamatokban. A felhasználó nehezebben észlelheti őket egy olyan víruskereső program nélkül, amely kifejezetten rootkit-szerű viselkedést keres. Ezenkívül jobb hozzáféréssel rendelkeznek az információkhoz, mivel rendszerszintű jogosultságokkal rendelkeznek, ellentétben a Windows API-alapúakkal, amelyek a felhasználó jogosultsági szintjére korlátozódnak.
#2. Hardveres billentyűnaplózók
A hardveres keylogger egy fizikai eszköz, amely a billentyűzet vezetékéhez vagy az USB-porthoz csatlakozik adatok ellopása céljából. Általában nincs hozzájuk szoftver csatolva, így lehetetlen, hogy egy felhasználó vagy egy vírusirtó észlelje őket az operációs rendszerből. Ez azonban azt is jelenti, hogy csak a billentyűleütések rögzítésére korlátozódnak.
Bár néhány fejlett keylogger szoftvert vagy firmware-t is telepíthet több adat rögzítésére és feladatok végrehajtására. De persze ekkor a vírusirtó által is kimutathatóvá válnak. A rögzített adatokat beépített vezeték nélküli eszközzel vagy adatmegosztó szoftverrel vissza lehet küldeni a hackernek. A hacker lehetőség szerint fizikailag is kiveheti az eszközt az adatok megtekintéséhez.
Mivel ez egy fizikai eszköz, egy hardveres keyloggert használnak célzott támadásokhoz, általában egy vállalatnál, hogy érzékeny információkat lopjanak el.
Keyloggerek használata legálisan vagy illegálisan
Általában a keyloggereket illegálisnak vagy legalábbis etikátlannak tekintik. Ennek azonban van jogi haszna attól függően, hogy milyen célra használja őket, és az ország törvényei vonatkoznak rájuk.
A legtöbb esetben nem minősül illegálisnak a keylogger telepítése egy saját eszközre. A szülőknek és munkaadóknak hirdetett, a gyerekek vagy alkalmazottak megfigyelésére szolgáló legtöbb eszközfigyelő alkalmazás beépített keyloggerrel rendelkezik.
Bár néhány országban létezhetnek olyan törvények, amelyek először az egyéni hozzájárulást kényszerítik ki. Az ECPA az Egyesült Államokban és a PIPEDA Kanadában arra kényszeríti a munkáltatókat, hogy megkérjék a munkavállalók beleegyezését. Számos ország és állam azonban lehetővé teszi a rejtett megfigyelést, ezért léteznek kémprogramok és kémprogram-elhárító alkalmazások.
Természetesen minden olyan keylogger, amelyet engedély nélkül telepítenek egy nem birtokolt eszközre, illegális.
Mennyire veszélyesek a Keyloggerek?
A keyloggerek egyetlen célja olyan érzékeny információk ellopása, amelyek rossz kezekben veszélyesek lehetnek, és ebben nagyon jók. Ellentétben az adathalász támadásokkal, amelyek azon alapulnak, hogy a felhasználók tévedésből adatokat adnak meg egy rosszindulatú weboldalon, a billentyűnaplózók bármit ellophatnak, és mindent, amit a billentyűzet segítségével gépelnek be.
A hackerek nagyon jók az ellopott adatok kiszűrésében is, például csak @ jellel vagy számokkal nyitják meg az adatokat. Az alábbiakban felsorolunk néhány jó okot, amelyek miatt a keyloggerek veszélyesek lehetnek.
Nincsenek egyedül
Sok modern billentyûrögzítõ többre is képes, mint pusztán a billentyűleütések rögzítésére. Ha áldozattá válik, jó eséllyel nemcsak a billentyűs tevékenységet rögzítik. Az általuk ellopható információk közé tartozik a vágólap tartalma, az operációs rendszeren belüli tevékenységei, az Ön által elért URL-ek és a tevékenységeiről készült képernyőképek.
Mind a PC-ket, mind az okostelefonokat érintik
A billentyűnaplózók fenyegetést jelentenek a PC-kre és az okostelefonokra egyaránt, az okostelefonos billentyűnaplózók talán még kifinomultabbak is, mint a PC-s társaik. Mivel az okostelefonok jobb engedélyekkel rendelkeznek ahhoz, hogy pontosan nyomon követhessék, mi történik a telefonon, a billentyűnaplózók jobb módon lophatják el és jeleníthetik meg az adatokat.
Társadalmi tervezési támadásokhoz vezethetnek
A legtöbb kifinomult social engineering támadás, de még a bálnavadászat-adathalász támadások is kulcsnaplót használnak, hogy többet megtudjanak az egyénről. Még ha az extra biztonság miatt nem is tudják ellopni a fiókadatokat (erről később), akkor is többet megtudhatnak az egyénről egy social engineering támadás miatt.
Az adatvédelem megsértése és zsarolás
Mivel mindent rögzíthetnek, amit begépeltek, így a közösségi médiában vagy e-mailben másoknak küldött üzeneteit is elolvashatják. Ha célzott támadásról van szó, a hacker megzsarolhatja a felhasználót minden olyan tiltott tevékenység miatt, amelynek privátnak kellett maradnia.
Hogyan védekezzünk a Keyloggerek ellen?
Csakúgy, mint bármely más rosszindulatú program, a megfelelő védelmi eszközök használatával, és nem tölti le a rosszindulatú szoftvereket, megmentheti számítógépét a keylogger általi fertőzéstől. Olyan gyakorlatokat is alkalmazhat, amelyek még akkor is megvédhetik Önt, ha számítógépe megfertőződik. Az alábbiakban felsoroljuk az összes lehetséges módszert, amellyel védekezhetsz a billentyűnaplózók ellen:
#1. Szerezzen víruskeresőt az Anti-keylogger segítségével
Az alapvető víruskereső nem működik jól a keyloggerekkel szemben. Erős megoldásra van szüksége, amely rendelkezik egy keylogger-szkennerrel és egy rootkit-szkennerrel. Az Avast One nem csak a rosszindulatú programok elleni csodálatos és online védelmet nyújtja, hanem rendelkezik egy keylogger-eltávolítóval és rootkit-szkennerrel is.
Az aktív védelme megakadályozza a legtöbb keylogger telepítését, mind a Windows API, mind a kernel alapú.
#2. Használjon billentyűleütés-titkosító szoftvert
A billentyűleütés-titkosító szoftver a kernel szintjén titkosítja a billentyűleütést, így biztosítva, hogy csak az az alkalmazás tudja olvasni az adatokat, amelybe gépel. Ez megakadályozza, hogy a keylogger lássa a billentyűleütéseket. Ezeknek az alkalmazásoknak általában van egy előre meghatározott listája azokról az alkalmazásokról, amelyeket titkosítani tudnak, ezért győződjön meg arról, hogy a szoftver támogatja az Ön által használt alkalmazásokat.
Ehhez a KeyScramblert ajánlom, mivel több száz alkalmazást támogat, beleértve a böngészőket, az önálló és az üzleti alkalmazásokat. A legjobb az egészben az, hogy az ingyenes verziója legalább biztonságban tartja a billentyűleütéseket a böngészőben, míg a legtöbb másiknak még nincs is ingyenes verziója.
#3. Használja a virtuális billentyűzetet
Sok billentyűnaplózó nem követi nyomon a virtuális billentyűzet által beírt szavakat. Kényes információk, például bejelentkezési adatok esetén megnyithatja a virtuális billentyűzetet, és egérkattintással beírhatja a szavakat. Windows rendszerben a Ctrl+Windows+O billentyűkombináció megnyomásával elindíthatja a virtuális billentyűzetet.
#4. Kerülje a gyanús hivatkozásokat és letöltéseket
A legtöbb keylogger legitim szoftverként települ a számítógépre, vagy törvényes szoftverrel van csomagolva. Ne töltsön le nem megbízható forrásból származó tartalmat, és legyen különösen óvatos a telepítés során, nehogy véletlenül bármi extra telepítést végezzen.
Az illegális vagy etikátlan tartalom általában nagyobb eséllyel rendelkezik olyan rosszindulatú programokkal, mint a keylogger. Kerülje tehát a szerzői joggal védett tartalmak letöltését, a hackeket/csalásokat, az automatikus javítóeszközöket és a legtöbb torrentezéssel járó dolgot.
Az e-mailben kapott gyanús linkek szintén nagy nem-nem, mivel olyan weboldalra vezethetnek, amely automatikusan letölthet egy keyloggert.
#5. Használjon Jelszókezelőt
A jelszókezelő védi az összes jelszavát egy titkosított tárolóban, és automatikusan kitölti a bejelentkezési adatokat, ahol szükséges, anélkül, hogy a billentyűzetet kellene használnia. Mivel nem a billentyűzetet használják a jelszó begépelésére, a billentyűzetnaplózó nem tudja ellopni a hitelesítő adatokat.
Az 1Password egy ilyen jelszókezelő, amely rengeteg helyet biztosít jelszavak és dokumentumok tárolására, és PC-n és okostelefonon is működik. Sajnos még mindig be kell írnia a jelszókezelő hitelesítéséhez használt fő jelszót, amely ellopható. Bár ez megelőzhető a kétlépcsős azonosítással (erről később).
#6. Ha lehetséges, engedélyezze a kétlépcsős azonosítást
A kétlépcsős azonosítás további biztonsági réteget biztosít azáltal, hogy további hitelesítést kér, amelyet általában egy másodlagos eszköz hajt végre. Még akkor is, ha jelszava feltörik – mondjuk egy keylogger –, a hackernek továbbra is hozzá kell férnie a másodlagos eszközhöz.
Az összes jelszókezelő és a legnépszerűbb alkalmazások/szolgáltatások kétlépcsős ellenőrzési funkciót kínálnak. Többek között olyan népszerű szolgáltatások, mint a Google, a Dropbox, a Facebook, a Slack, a Twitter, az 1Password, a Zapier és az Apple-fiókok, kétlépcsős azonosítást kínálnak.
#7. Kerülje a nyilvános eszközöket
A nyilvános eszközök szoftverrel vagy hardver alapú kulcsnaplóval is rendelkezhetnek az információk ellopásához. Kerülje a nyilvános eszközök használatát bizalmas információk eléréséhez. Ha el kell érnie, akkor legalább a hitelesítési adatait módosítsa utólag egy biztonságos számítógépről.
#8. A szoftvertelepítés korlátozása rendszergazdaként
Ha egy cég számítógépes adminisztrációja az Ön kezében van, akkor a szoftvertelepítés megakadályozása jó módszer a keylogger telepítésének megakadályozására. Mivel a legtöbb munkahelyi számítógépnek nincs szüksége további szoftverre a működéshez, beállíthatja a Windows-t úgy, hogy ne engedélyezze a szoftverek felhasználók általi telepítését.
#9. Tartsa naprakészen az operációs rendszert
Egy elavult operációs rendszer biztonsági réseket tartalmazhat, amelyeket vissza lehet használni a billentyűnaplózók telepítéséhez és végrehajtásához. Ez mind a PC-kre, mind az okostelefonokra igaz. A legújabb operációs rendszerrel kell rendelkeznie, de elég újnak kell lennie ahhoz, hogy megkapja a biztonsági javításokat.
#10. Mindig legyen engedélyezve a tűzfal
Windows esetén győződjön meg arról, hogy a tűzfal nem működik. Mivel a keyloggereknek gyanús kapcsolatokat kell létrehozniuk. Általában akkor kapja el őket a tűzfal, amikor adatokat próbálnak visszaküldeni a hackernek. Kipróbálhatja a GlassWire használatát is, amely nyomon követi az egyes kapcsolatokat (erről később).
Hogyan lehet felismerni, ha a számítógép fertőzött?
Ha úgy gondolja, hogy számítógépe a védelmi intézkedések után is megfertőződött, számos nyom és eszköz segíthet ennek megerősítésében. Az alábbiakban néhány gyakori mutatót talál:
#1. Hirtelen lassú PC teljesítmény
Számos dolog befolyásolhatja a számítógép teljesítményét, például az optimalizálatlan beállítások vagy a hardver rossz állapota. Ha azonban hirtelen leesik, annak oka lehet egy keylogger. Az ilyen kártevők általában rosszul kódoltak, és egyesek folyamatosan adatokat küldenek vissza a hackereknek, ami befolyásolhatja a számítógép teljesítményét.
Ez különösen igaz, ha a billentyűzet és az egér mozgása késik. Például bárminek, amit beír, 200 ms+ késleltetése van, és ugyanez az egér mozgásának is. Továbbá, ha az egérkurzor is véletlenszerűen eltűnik, az lehet a keylogger műve.
#2. Használja a Feladatkezelőt
A Feladatkezelő pontosan megmutatja a megnyitott folyamatokat. Ha ez egy Windows API-alapú keylogger, akkor megjelenik a Feladatkezelőben. Nyissa meg a Feladatkezelőt a Ctrl+Shift+Esc billentyűkombináció megnyomásával.
Itt kattintson a jobb gombbal a felső címsorra, és engedélyezze a Publisher opciót. Ez lehetővé teszi, hogy átugorja az összes Windows-hoz kapcsolódó folyamatot, mert mindegyiknek a Microsoft a kiadója. A többihez csak keressen olyan alkalmazásokhoz tartozó folyamatokat, amelyeket nem telepített, vagy amelyekről nem sokat tud. Ha talál ilyet, keressen rá online, hogy lássa, legális program-e vagy sem.
#3. Ellenőrizze a Nemrég elért fájlokat
Mivel a keyloggerek általában rejtett fájlba rögzítik az adatokat, ezeknek meg kell jelenniük a Windows legutóbbi fájljaiban, amikor szerkesztik. Ez a terület csak a felhasználó által legutóbb megnyitott fájlokat jeleníti meg, így minden olyan fájl, amelyre nem emlékszik, gyanút kelthet. Megkeresheti a tettes fájlt az interneten, vagy megpróbálhatja megtekinteni az adatait úgy, hogy megnyitja jegyzettömbként.
A legutóbbi fájlok Windows 11 rendszerben való eléréséhez nyissa meg a Start menüt, és kattintson a jobb alsó sarokban található Továbbiak gombra. Ez megjeleníti az összes nemrégiben megnyitott/szerkesztett fájlt.
#4. Hardveres billentyűnaplózók észlelése
A hardveres billentyûrögzítõ általában USB formájú, USB-porttal a hátulján, ahová a billentyûzet vezetékét behelyezik. Nagyon könnyű felismerni, de kaphatóak bonyolultabbak is, amelyek töltőként vagy USB-kábelként működhetnek. Némelyikük akár a CPU-ba is telepíthető, elrejtve a szem elől.
Ha gyanakszik, az összes USB-port és a billentyűzet vezetékének ellenőrzése a legjobb megoldás egy billentyűnaplózó megtalálásához. Kinyithatja a CPU házát is, és megnézheti, van-e valami extra csatlakoztatva az USB-portokhoz.
#5. Használjon hálózati nyomkövetőt
A GlassWire-hez hasonló hálózati nyomkövető nemcsak tűzfalként működik a gyanús kapcsolatok leállítására, hanem minden kapcsolatról értesíti is. Alapértelmezés szerint úgy van beállítva, hogy értesítse Önt, ha új kiszolgálóhoz csatlakozik. Pontosan megtekintheti, hogy melyik alkalmazás hozta létre a kapcsolatot és hová.
Ezen információk segítségével manuálisan észlelheti a gyanús kapcsolatokat, még akkor is, ha a GlassWire nem észleli őket automatikusan.
Mi a teendő, ha a számítógépe fertőzött?
Tehát rájött, hogy a számítógépe fertőzött, és talán még a pontos alkalmazást is megtudta, ami egy keylogger. A megoldás egyszerű: szabadulj meg tőle. A legtöbb Windows API-alapú keylogger lehetővé teszi az egyszerű eltávolítást, mint bármely más alkalmazást, bár egyesek ellenállhatnak.
Az alábbiakban felsorolunk néhány dolgot, amelyekkel megszabadulhat a fertőzéstől, akár ismert, akár nem:
Használjon eltávolító programot
Ha észlelte a keylogger alkalmazást, akkor a legjobb, ha egy harmadik féltől származó eltávolítóalkalmazással törli. Egy ilyen alkalmazás nem csak a fő alkalmazást törli, hanem a kapcsolódó adatokat is, beleértve a rendszerleíró adatbázis bejegyzéseit is. Továbbá, ha az alkalmazás ellenáll az eltávolításnak, az eltávolító egyszerűen töröl mindent, ami hozzá tartozik, hogy leállítsa a működését.
Az IObit Uninstaller a kedvenc alkalmazásom erre a célra. Kiválaszthatja a keyloggert a programlistából, vagy tallózhat a számítógépen, és hozzáadhatja a futtatható fájlt. Ha valamilyen oknál fogva továbbra sem tudja törölni, próbálja meg csökkentett módban elindítani a Windows rendszert, és újra törölni.
Futtasson mély vizsgálatot víruskeresővel
Ehhez ismét az Avast One-t ajánlom. Mind a Deep Scan, mind a Boot-Time vizsgálattal rendelkezik. A mély vizsgálat az operációs rendszer minden sarkában megkeresi a rosszindulatú programokat. Ha nem találja és nem törölheti a keyloggert, akkor a Boot-Time vizsgálat még azelőtt megvizsgálja a számítógépet, hogy az operációs rendszer és a kernelszintű alkalmazások megzavarhatnák a vizsgálatot.
Állítsa vissza vagy telepítse újra az operációs rendszert
A fenti két módszernek működnie kell. Ha azonban semmi sem működik, akkor lehetősége van alaphelyzetbe állítani, ahelyett, hogy fertőzött eszközzel foglalkozna. Ennek többféle módja van. Visszaállíthatja a számítógépet egy korábbi dátumra, mielőtt megfertőződött volna, teljesen visszaállíthatja, vagy akár teljesen eltávolíthatja, és új operációs rendszert telepíthet.
A Windows beállításaiban lépjen a Rendszer > Helyreállítás menüpontra, hogy megtalálja ezeket a lehetőségeket. Ha a teljes visszaállítás mellett dönt, készítsen biztonsági másolatot a fontos adatokról.
Utolsó gondolatok 💭
A legtöbb rosszindulatú támadástól való biztonsághoz általában elegendő elolvasni, mielőtt rákattintna valamire, és elkerülheti az illegális/etikátlan tartalmat. Ha óvatos, még az alap Windows Defender és a tűzfal is elegendő a biztonsághoz. Bár a tudatosak számára az Avast One és a GlassWire jó kombinációja a billentyűnaplózók és más rosszindulatú programok elleni védelemnek.
Felfedezhet néhány fizetős és ingyenes víruskeresőt is.