2005 februárjában Joe Lopez floridai üzletember beperelte a Bank of America-t, miután a hackerek 90 000 dollárt loptak el bankszámlájáról. Az ellopott pénzt Lettországba, a Balti-tenger partján fekvő volt szovjet köztársaságba utalták át.

számítógép

A vizsgálat során kiderült, hogy López számítógépe megfertőződött a Backdoor Coreflood néven ismert vírussal, amely minden billentyűleütést rögzít, és ezeket az információkat az interneten keresztül számítógépes bűnözőknek küldi. A hackerek így szerezték meg Joe López felhasználónevét és jelszavát, mivel banki tranzakcióit gyakran az interneten keresztül hajtotta végre.

A bíróság ítélete azonban nem részesítette előnyben a felperest, mivel azzal érveltek, hogy Joe López gondatlanul nem tett óvintézkedéseket, amikor bankszámláját az interneten kezelte. A rendszerén talált rosszindulatú kód adatait szinte az összes víruskereső adatbázisába már 2003-ban felvették.

Joe Lopez veszteségeit az általános gondatlanság és a hétköznapi keylogger program kombinációja okozta. Magától, a „keylogger” kifejezés semleges, és egy olyan funkciót ír le, amely rögzíti a számítógép billentyűleütéseit.

A megkérdezett források többsége a keyloggert olyan programként definiálja, amelyet az egyes billentyűleütések titkos megfigyelésére és rögzítésére terveztek.

Ez a definíció nem teljesen helytálló, mivel a billentyűparancsnak nem feltétlenül programnak kell lennie, de lehet fizikai eszköz is.

A Keylogger eszközök kevésbé ismertek, mint a Keylogger szoftverek, de a számítógépes biztonságról beszélve fontos figyelembe venni mindkettő meglétét.

A törvényes programoknak lehet billentyűzetes funkciója, amely használható (és gyakran használatos) bizonyos programok indításához gyorsbillentyűk használatával vagy a billentyűzet elrendezésének megváltoztatásához (például a Ninja billentyűzet).

Számos olyan program áll rendelkezésre, amelyek lehetővé teszik a vezetők számára, hogy számítógépükön kövessék nyomon az alkalmazottak napi tevékenységét., vagy amelyek lehetővé teszik a felhasználók számára, hogy ugyanezt tegyék harmadik felek tevékenysége tekintetében is. Az etikus határ azonban az igazolt nyomon követés és a bűnügyi kémkedés között gyakran nagyon csekély. Előfordul, hogy a törvényes programokat gyakran szándékosan használják bizalmas felhasználói információk, például jelszavuk ellopására.

A legtöbb modern billentyűzárat legitim szoftvernek vagy hardvernek tekintik, és nyíltan értékesítik a piacon. A fejlesztők és a gyártók hosszú listát kínálnak azokról az esetekről, amelyekben a billentyűnaplók használata törvényes, például:

  • Szülői felügyelet- A szülők nyomon követhetik gyermekeik tevékenységét az interneten, és kérhetik, hogy értesítéseket küldjenek nekik a felnőtteknek szóló internetes oldalakhoz való hozzáférés esetén.
  • Féltékeny feleségek vagy férjek fordulhatnak kulcstartóhoz nyomon követheti partnerének tevékenységét az interneten, ha gyanítja, hogy "virtuális kapcsolatban van".
  • Vállalati biztonság: a számítógépek nem munkára, vagy az állomások munkaidőn kívüli használatának nyomon követése.
  • Vállalati biztonság- Billentyűzárak használata az üzleti információkhoz kapcsolódó kulcsszavak és kifejezések bevezetésének nyomon követésére, amelyek nyilvánosságra hozatal esetén (akár anyagilag, akár más módon) károsíthatják a vállalatot.
  • Más típusú biztosíték- billentyűzárnaplók használata a személyi számítógépek használatával kapcsolatos események elemzéséhez és nyomon követéséhez;

Bár az említett igazolások inkább szubjektívek, mint objektívek, minden helyzet megoldható más módszerekkel. Ezenkívül bármilyen törvényes keylogger programot mindig fel lehet használni rosszindulatú vagy bűncselekményre. Ma a billentyűzárakat főleg különböző online fizetési rendszerekkel kapcsolatos információk ellopására használják, és a vírusfejlesztők nem szűnnek meg új vágyakat kifejleszteni erre a célra.

Sok billentyűzár elbújik a rendszerben, például gyökérkészletnek álcázhatja magát, ami teljesen alattomos trójai programokká alakítja őket.

Tekintettel arra, hogy a billentyűzárak felhasználhatók bűncselekmények elkövetésére, az ilyen programok felderítése prioritássá vált az antivírus-társaságok számára.

A Kaspersky Lab minősítési rendszernek van egy speciális kategóriája, a Trojan-Spy néven, ami történetesen jó definíció a billentyűzárak számára. A kém trójaiak, nevükből következően nyomon követik a felhasználói tevékenységet, eltárolják az információkat a felhasználó számítógépének merevlemezén, majd elküldik a trójai írójának vagy "tulajdonosának".

Az ellopott információk tartalmazzák a felhasználói billentyűleütéseket és a képernyőképeket, amelyeket a banki információk ellopása során használnak online csalások végrehajtására.

A rosszindulatú programok más típusaitól eltérően, a billentyűzárak nem jelentenek veszélyt magára a rendszerre. Ezek azonban komoly veszélyt jelenthetnek a felhasználókra, mivel felhasználhatók a billentyűzeten keresztül bevitt jelszavak és egyéb bizalmas információk elfogására.

Ennek eredményeként az internetes bűnözők PIN kódokat és számlaszámokat szerezhetnek az online fizetési rendszerekből, az online játék felhasználói fiókokhoz tartozó jelszavakat, e-mail címeket, felhasználói neveket, e-mail jelszavakat stb.

Miután az internetes bűnöző megkapta a felhasználó bizalmas információit, könnyedén folytathatják a pénz átutalását a felhasználó számlájáról, vagy hozzáférhetnek a felhasználó online játékfiókjához.

Sajnos ez a személyes adatokhoz való hozzáférés néha súlyosabb következményekkel jár, mint a felhasználó néhány dollár elvesztése. A billentyűzárak eszközként használhatók az ipari és politikai kémkedésben, mivel lehetséges olyan adatok megszerzése, amelyek kereskedelmi tulajdonra vonatkozó információkat és minősített kormányzati anyagokat is tartalmazhatnak, amelyek például állami kulcsok ellopásával veszélyeztethetik az állami szervezetek biztonságát.

A kulcstartók, valamint az adathalász és a szociális mérnöki módszerek a fő módszerek a modern elektronikus csalások során. Az óvatos felhasználó számára azonban nem nehéz megvédeni magát. Elég figyelmen kívül hagyni azokat az e-maileket, amelyeket egyértelműen adathalászként azonosítottak, és semmiféle személyes információt nem szolgáltatnak gyanús internetes oldalaknak. Másrészt a felhasználó nem sokat tehet a billentyűzárral elkövetett csalások megelőzése érdekében, kivéve, ha speciális védelmi eszközökhöz folyamodik, mivel a billentyűzárakkal elkövetett csalások ellenőrzése szinte lehetetlen.

Cristine Hoepers, a brazíliai Computer Emergency Response Team vezetője, amely az adott ország internetes bizottsága keretében működik, vezetője szerint a billentyűzárak az adathalászatban a legelterjedtebb módszerek listáján az első helyen álltak az adathalászaton. Ezenkívül a billentyűzárak egyre kifinomultabbak, mivel nyomon követhetik a felhasználó által meglátogatott internetes oldalakat, és csak azokon a webhelyeken rögzítik a billentyűzet használatát, amelyek a számítógépes bűnözőket különösen érdeklik.

2006 februárjában a brazil rendőrség 55 embert tartóztatott le, akik részt vettek a banki rendszerek felhasználói adatainak és jelszavainak ellopására használt rosszindulatú programok elterjedésében. A billentyűzárak aktiválódtak, miközben a felhasználók bankjaik weboldalán jártak, titokban feltérképezték az ezeken az oldalakon található adatokat, majd számítógépes bűnözőknek küldték el. Az ország hat bankjában 200 ügyfél számlájáról ellopott teljes pénzösszeg elérte a 4,7 millió dollárt. Azt a tényt, hogy a kiberbűnözők oly gyakran választják a billentyűzárakat, megerősítik a számítógépes biztonsági cégek.

A közelmúlt egyik VeriSign jelentése kiemeli, hogy az elmúlt években a vállalat gyors növekedést észlelt a rosszindulatú programok számában, amelyek tartalmazzák a billentyűzárak működését.

Az egyik jelentésében a Symantec számítógépbiztonsági vállalat rámutat, hogy a társaság elemzői által az elmúlt évben észlelt programok mintegy 50 százaléka nem jelent közvetlen veszélyt a számítógépekre, de az internetes bűnözők mindenesetre személyes felhasználók elfogására használják őket adat.

John Bambenek, a SANS intézet elemzőjének kutatása szerint csak az Egyesült Államokban mintegy tízmillió számítógép van megfertőzve egy rosszindulatú programmal, amely egy keylogger funkciót tartalmaz. Kombinálva ezeket a számokat az online fizetési rendszerek egyesült államokbeli felhasználóinak számával, a lehetséges veszteségek becslések szerint körülbelül 24,3 millió USD.

A legtöbb modern rosszindulatú program különböző technológiákat alkalmazó hibridekből áll. Emiatt a rosszindulatú programok bármely kategóriája tartalmazhat keylogger funkciókkal vagy alfunkciókkal rendelkező programokat. A Keyloggers ugyanúgy terjed, mint más rosszindulatú programok. Kivéve azokat az eseteket, amikor a billentyűzárakat féltékeny partner vásárolja és telepíti, vagy a biztonsági szolgálatok használják, általában a következő módszerekkel terjednek:

Keylogger akkor telepíthető, ha:

  • A felhasználó megnyit egy e-mail üzenethez csatolt fájlt.
  • A fájl a P2P hálózat nyílt hozzáférésű könyvtárából fut.
  • Az internetes oldalrutin kihasználja a böngésző egy sebezhetőségét, és automatikusan futtatja a programot, amikor a felhasználó meglátogat egy fertőzött internetes webhelyet.
  • Elindul egy korábban telepített rosszindulatú program, amely képes más rosszindulatú programok letöltésére és telepítésére a rendszeren.

A legtöbb víruskereső vállalat már felvette az adatbázisukba a jól ismert billentyűzárak leírásait, ezáltal hasonló védelmet nyújtva a billentyűzárakkal szemben, mint más típusú rosszindulatú programok elleni védelem: telepítenek egy víruskereső terméket és naprakészen tartják az adatbázisukat. Mivel azonban a legtöbb víruskereső termék a kulcsnaplózókat potenciálisan rosszindulatú programok közé sorolja, a felhasználóknak meg kell győződniük arról, hogy víruskereső termékük az alapértelmezett beállításokkal észleli az ilyen típusú kártevőket. Ha nem, akkor a terméket megfelelően kell konfigurálni, hogy biztosítsa a védelmet a közös billentyűzárak ellen.

Mivel a billentyűzárak fő célja a bizalmas információk (bankkártya-számok, jelszavak stb.) Rögzítése, az ismeretlen billentyűzárak elleni védelem leglogikusabb módja a következő:

  • Egyszeri érvényes jelszavak vagy kétlépcsős hitelesítési folyamat.
  • Proaktívan védett rendszer, amelyet a keylogger programok észlelésére terveztek.
  • Virtuális billentyűzet.

Az érvényes egyszeri jelszavak használata segít minimalizálni a veszteségeket, ha a beírt jelszót elfogják, mivel a létrehozott jelszó csak egyszer használható, és korlátozott az az időtartam, amely alatt használható. Még akkor is, ha egyszeri jelszót lehallgatnak, a számítógépes bűnöző nem fogja tudni használni bizalmas információkhoz való hozzáférést.

Az egyszeri jelszavak megszerzéséhez speciális mechanizmusokat használhat, például:

  • USB-eszköz (például Aladdin eToken NG OTP).
  • Számológép (például RSA SecurID 900 aláíró token).

Vannak más intézkedések a billentyűzárral szembeni védelem érdekében:

  • A potenciálisan rosszindulatú programok észleléséhez adaptálható szabványos víruskereső (sok termékben előre beállított opció) segítségével az proaktív védelem megvédi a rendszert a meglévő billentyűzárak új módosításaitól.
  • Virtuális billentyűzet vagy rendszer használata egyszeri jelszavak előállításához a billentyűparancsos programok és eszközök elleni védelem érdekében.