Цифровизация всех сфер жизнедеятельности человека принесла с собой большое количество достижений, упростила коммуникацию и повысила эффективность бизнес-процессов. Но вместе с положительными аспектами цифровизации существенно возрос и риск утечки конфиденциальных данных. Еще несколько десятилетий назад все важные корпоративные документы и информация частных лиц хранились в физическом виде, а уровень их безопасности определяли физические системы защиты, включая сейфы, камеры хранения, защищенные архивы и пр.
На сегодня большинство данных хранятся в цифровом виде, что побуждает злоумышленников изобретать новые способы кражи информации. Бизнес и частные лица год за годом сталкиваются с большим количеством киберугроз, основной задачей которых является нанесение вреда электронно-вычислительным системам и сетям, а также несанкционированное получение конфиденциальной информации. Одной из таких угроз является кейлоггер, В данном материале подробно рассмотрим что такое кейлоггер, принцип его работы, опишем основные виды угроз, принципы работы и обнаружения.
Keylogger — это тип технологии наблюдения, которая часто реализуется в виде регистраторов нажатий клавиш и используется для мониторинга и записи каждого нажатия кнопки на целевом устройстве. Например, на клавиатуре компьютера, банкомата или на экране смартфона. Многие пользователи считают, что клавиатурный шпион — это исключительно программный инструмент. Однако существуют примеры аппаратных устройств, которые визуально копируют клавиатуру целевого устройства, в том числе банкоматов.
Таким образом, пользователь, вводя свой пароль для банковских операций, не подозревает, что нажатие кнопок фиксируется и записывается сторонним устройством. Злоумышленники, получив записи комбинаций нажатий, имеют возможность без труда восстановить пароль и воспользоваться аккаунтом жертвы для снятия денежных средств или проведения других несанкционированных операций.
Однако наибольшей популярностью среди злоумышленников пользуются программные продукты, которые устанавливаются в операционную систему и производят мошеннические действия без ведома пользователя. После записи требуемых комбинаций, полученные данные передаются на сервер киберпреступников, где происходит их анализ и упорядочивание. Целью шпионов могут быть не только пароли, данные авторизации и данные банковским карт. Хакеры, путем анализа нажатых жертвой комбинаций, имеют возможность восстановить конфиденциальные переписки, определить настройки операционной системы, сетевых параметров пр.
Кейлоггер — это не всегда только инструмент мошенников. Несмотря на явный факт нарушения конфиденциальности, такие программные продукты могут быть использованы и для легальных целей. Примерами такого использования являются:
системы родительского контроля. Некоторые программные инструменты родительского контроля позволяют записывать комбинации нажатых клавиш для наблюдения за использованием компьютера детьми;
контроль сотрудников. Клавиатурные шпионы используют некоторые предприниматели и начальники отделов с целью анализа и контроля деятельности сотрудников и подчиненных;
защита личных устройств от несанкционированного использования. Частные и служебные лица применяют клавиатурных шпионов для отслеживания неправомерного использования личных и корпоративных электронно-вычислительных устройств;
расследования правоохранительных органов. Сотрудники специальных служб используют программные шпионы для борьбы со злоумышленниками, в частности с киберпреступниками, и анализа инцидентов с нарушением законодательства.
Выше были упомянуты два основных вида клавиатурных шпионов. Рассмотрим их более подробно.
Помимо упомянутых выше аппаратных копий банкоматных клавиатур, существует еще один вид аппаратных клавиатурных шпионов, который представляет собой устройства небольшого размера, устанавливаемые в разрыв физической линии связи клавиатуры и компьютера. Визуально они напоминают устройство соединителя кабеля. Злоумышленники постоянно совершенствуют дизайн таких устройств, чтобы неподготовленный пользователь не заподозрил постороннего вмешательства. Как правило, устройства напоминают утолщенную вставку клавиатурного кабеля, PS/2 разъем клавиатуры или USB-адаптер. Для потенциальной жертвы наличие дополнительной детали в цепи подключения не вызывает опасений.
В отличие от предыдущего вида клавиатурных шпионов, программные варианты не требуют физического доступа к компьютеру жертвы для установки. Код кейлоггера может быть целенаправленно установлен на устройство, если его предполагается использовать в законных целях. Мошенники используют его в качестве вредоносного ПО для слежки за жертвой и кражи конфиденциальных данных, поэтому пытаются разными путями загрузить keylogger на устройство пользователя. Для этого могут применяться тактики фишинга, фарминга, системные уязвимости и пр.
К основным типам программных клавиатурных шпионов относятся:
Кейлоггеры пользовательского режима. Данный вариант предусматривает использование интерфейса прикладного программирования API Windows с целью перехвата движений курсора и нажатий клавиатуры. Кроме того, перехваченными могут быть функции API GetAsyncKeyState или GetKeyState. Такие кейлоггеры требуют от злоумышленника активного отслеживания каждого нажатие клавиш.
Кейлоггеры режима ядра. Более мощный и технически сложный метод программного клавиатурного шпиона. Для их работы требуются высокие привилегии и права доступа, что позволяет им модифицировать внутреннюю систему Windows через ядро. По этой причине обнаружение данного вида кейлоггеров — более сложная задача.
Некоторые разновидности программного кода шпионов позволяют использовать клавиатурные API-интерфейсы для внедрения в память, запуска других приложений, в том числе вредоносных скриптов и рекламного ПО.
Еще одним подвидом аппаратных клавиатурных шпионов является небольшой модуль, который устанавливаются злоумышленниками непосредственно в корпус клавиатуры. В таких модулях предусмотрено наличие собственных цифровых хранилищ, куда сохраняются все нажатия клавиатуры пользователем. Объем памяти жестких дисков может достигать нескольких гигабайт, чего вполне достаточно для хранения больших объемов текстовой информации. Для получения доступа к украденным данным мошенник должен извлечь устройство из клавиатуры, получив к ней непосредственный доступ.
Стоит отметить: будет ошибкой считать, что беспроводные клавиатуры решают проблему с аппаратными шпионами, так как отсутствует физическая линия связи устройства с компьютером. Для записи данных с беспроводных моделей клавиатур были разработаны т.н. снифферы. Они имеют возможность подключаться к радиоканалу связи, установленному между самой клавиатурой и USB-приемником для перехвата и расшифровки передаваемой информации.
Программные версии клавиатурных шпионов в основном состоят из двух файлов, развернутых в одной директории:
Исполняемый файл. Его функция состоит в установке динамической библиотеки DLL и последующем его запуске.
Динамическая библиотека DLL. Необходима для записи нажатий клавиш.
В зависимости от задач и версий keylogger, программа может работать с разной частотой записей и их отправки на хакерский сервер. Как правило, данные записывают постоянно, а отправка происходит периодически. Современные кейлоггеры часто имеют дополнительные функции, кроме записи нажатий клавиш, в частности, возможность захвата всей информации, которая была скопирована пользователем в буфер обмена. Кроме того, в ПО часто встраивается возможность создания снимков экрана при работе конкретного приложения или системы в целом.
Существует специально разработанное программное обеспечение, позволяющее обнаруживать клавиатурных шпионов, развернутых в операционной системе компьютера. Тип таких программ принято называть анти-кейлоггерами. Принцип их работы заключается в сравнении файлов, хранящихся на жестком диске компьютера, с базой подписей кейлоггера или с его контрольным списком общих атрибутов.
В некоторых случаях специальное защитное программное обеспечение показывает больший уровень эффективности обнаружения клавиатурных шпионов, в отличие от антивирусных и антишпионских программ. Антивирусные программные продукты не всегда идентифицируют keylogger как вредоносное шпионское ПО. В зависимости от установленных антивирусных баз и типа кейлоггера, последний может быть принят за легальную программу.
Второстепенным, но эффективным решением обнаружения работающего в системе клавиатурного шпиона является использование межсетевых экранов, которые в режиме реального времени сканируют входящий и исходящий сетевой трафик. Так как программный шпион клавиатурный рано или поздно попытается передать записанные данные на удаленный сервер злоумышленника, для этого ему понадобиться установить с ним соединение и послать исходящий запрос. Правильно настроенный сетевой экран определит запрос и уведомит пользователя о подозрительной несанкционированной активности программы. После получения сигнала необходимо немедленно предпринять действия по обнаружению, деактивации и удалению вредоносного ПО во избежание потери критически важных данных.
В некоторых случаях обнаружить работающий клавиатурный шпион поможет стандартное средство операционной системы — диспетчер задач. Однако этот вариант нельзя считать универсальным. Во-первых, неподготовленным пользователям будет тяжело понять, какой именно из запущенных процессов отвечает за работу шпиона. Во-вторых, если в коде кейлоггера предусмотрена возможность манипулирования ядром операционной системы, то обнаружить его процесс в диспетчере задач, скорее всего, не удастся.
Обезопасить компьютер и другие устройства от установки аппаратных кейлоггеров помогут физические способы защиты, в частности, установка надежной двери, охранных и сигнализационных систем, внедрение пропускной системы, политик доступа и безопасности и пр. Обнаружить аппаратные шпионы возможно только методом визуального осмотра. При использовании проводной клавиатуры необходимо обращать внимание на кабель. На нем не должно содержаться сторонних модулей, толщина кабеля по всей длине не должна отличаться. Сложнее всего обнаружить кейлоггеры, установленные непосредственно в корпусе клавиатуры.
Регулярное обновление антивирусных баз и антишпионского ПО обеспечит максимальную защиту от киберугроз. Как правило, разработчики ПО включают в последние обновления все известные на момент выхода апдейтов виды шпионских и вирусных программ, включая вредоносные клавиатурные шпионы.
Так как одной из целей кейлоггеров является кража паролей от пользовательских учетных данных, одной из превентивных мер защиты является использование надежных менеджеров паролей. Данное ПО создано специально для безопасного хранения длинных комбинаций символов. В качестве дополнительной функции некоторые версии менеджеров позволяют автоматически вводить учетные данные в требуемые поля без необходимости нажатий кнопок на клавиатуре.
Использование системного брандмауэра позволит в режиме реального времени автоматически анализировать исходящий сетевой трафик и своевременно выявлять аномальное поведение работающих программ. При попытке недоверенного приложения установить доступ к глобальной сети через подключенный канал связи межсетевые экраны временно заблокируют соединение, предоставляя пользователю выбор: разрешить исходящий трафик или запретить. Рекомендуется запрещать установку соединения до тех пор, пока не будет определена программа, которая пытается получить доступ.
К дополнительным мерам безопасности можно отнести использование двухфакторной аутентификации и токена безопасности. Таким образом злоумышленник не сможет получить доступ к пользовательскому аккаунту даже в случае кражи пароля. Кроме того, можно использовать иные системные методы, позволяющие вводить данные без использования физической клавиатуры. В частности, это позволяют сделать преобразователи голоса в текст или стандартный инструмент операционной системы Windows — экранная клавиатура.
Клавиатурные шпионы — довольно распространенный способ кражи данных и слежки за интернет-пользователями. Жертвой кейлоггеров могут стать не только бизнес-организации, но и частные пользователи. В незаконных целях ПО данного типа распространяется, как правило, с использованием методов фишинга или за счет непосредственного внедрения во время масштабных кибератак.
Во избежание потери данных рекомендуется проводить регулярное сканирование операционной системы при помощи специализированного ПО, устранять уязвимости информационной инфраструктуры компании и не допускать третьих лиц к использованию электронно-вычислительного оборудования.