Клавиатурный шпион – это программа или устройство, которое фиксирует и записывает все нажатия пользователя на клавиатуру. В зависимости от заложенных характеристик и технологии работы, он может быть как съемным, так и работать дистанционно. ИБ-специалисты часто называют клавиатурные шпионы кейлоггерами (от англ. keylogger, «регистрирующее устройство для клавиш»). Они применяются и как легальное средство записи действий пользователя, и как шпионское ПО, которое используется для кражи секретных данных.
В этой статье мы рассказали про основные виды кейлоггеров, их преимущества и недостатки, а также способы защиты от такого типа программ или устройств.
Виды кейлоггеров
Главная задача кейлоггера – это считывание данных путем отслеживания воздействий на средство ввода, то есть клавиатуру. Для решения этой задачи могут быть использованы любые средства.
Классически, принято выделять два вида кейлоггеров:
Программные. Это шпионское ПО, которое записывает действия пользователя и отправляет их на устройство злоумышленника. Чаще всего « доставляется» на устройство с помощью вредоносных файлов, фишинговых рассылок.
Аппаратные. Это устройство, которое требует физического взаимодействия злоумышленника с устройством жертвы сначала для установки, а затем для демонтажа.
Однако, кейлоггер это не только конкретные устройства, но и метод, в рамках которого и обычную камеру с высоким разрешением, в поле которой хорошо видна клавиатура во время работы, уже можно считать своего рода кейлоггером. Это если не говорить о более сложных и оригинальных способах считывания информации. Например, группа американских и китайских исследователей смогла создать алгоритм, считывающий данные с помощью отражения в очках у людей с 4k камерами. Есть не менее перспективные программы для записи клавиатуры на основе звуков, которые издают клавиши при нажатии.
[...]
Как вычислить кейлоггер
Клавиатурные шпионы наиболее уязвимы в момент передачи информации. Если говорить об аппаратных шпионах, то их снятие требует физического присутствия злоумышленника. Помимо этого, такой кейлоггер можно определить самостоятельно, обнаружив не несущие функций « переходники» или следы замены заводских элементов устройства. Как правило, выявить аппаратный кейлоггер может только профильный специалист либо человек, хорошо знакомый с железом. Программные кейлоггеры в контексте методов обнаружения мало чем отличаются от аппаратных. Чаще всего они попадают в поле зрения защитных инструментов в момент передачи накопленных данных на устройство злоумышленника.
Александр Булатов, коммерческий директор NGR Softlab: Обычный пользователь ПК чаще всего сталкивается с программными кейлоггерами. Открыв зараженный файл, пришедший от незнакомого адресата, можно установить на своем компьютере невидимого шпиона, наблюдающего и запоминающего все нажатия клавиатуры. Заметить его присутствие практически невозможно без специального антивирусного ПО. Хотя даже это не всегда гарантирует 100% обнаружение.
Если говорить о корпоративных информационных системах, то у организаций есть больше возможностей обнаружить такое вредоносное ПО. Шпионский кейлоггер должен не просто собрать нажатия клавиш, но и передать эту информацию по сети злоумышленнику. Вот эти аномальные сетевые коммуникации могут быть зафиксированы тем или иным средством сетевой безопасности, которые используются в компаниях. Их разнообразие обеспечивает своеобразную эшелонированную защиту и обнаружение.
При этом кейлоггеры – это не всегда шпионские устройства и программы. В некоторых специализированных комплексах и системах кейлоггеры выполняют функцию бортового самописца, «черного ящика», который регистрирует все взаимодействия человека с системой. Эти данные при необходимости могут быть использованы для расследования тех или иных инцидентов.
Лучший способ защититься от шпиона клавиатуры – это установить соответствующие инструменты для фильтрации почты, проверки расширений и скачиваемых файлов. И постоянное обучение персонала цифровой гигиене, методам определения фишинговых писем и ссылок.