През февруари 2005 г. Джо Лопес, бизнесмен от Флорида, съди Bank of America, след като хакери откраднаха 90 000 долара от банковата му сметка. Откраднатите пари бяха прехвърлени в Латвия, бивша съветска република, разположена на брега на Балтийско море.

шпионин

Разследване разкри, че компютърът на Лопес е бил заразен с вируса, известен като Backdoor Coreflood, който записва всяко натискане на клавиш и изпраща тази информация на киберпрестъпниците чрез Интернет. По този начин хакерите получиха потребителското име и парола на Джо Лопес, тъй като той често извършваше банковите си транзакции през Интернет.

Присъдата на съда обаче не облагодетелства ищеца, тъй като се твърди, че Джо Лопес е проявил небрежност, като не е взел предпазни мерки при управлението на банковата си сметка по интернет. Данните за злонамерения код, намерен във вашата система, бяха добавени към базите данни на почти всички антивирусни програми още през 2003 г.

Загубите на Джо Лопес са причинени от комбинация от общо невнимание и обикновена програма за кейлогър. От само себе си, терминът „keylogger“ е неутрален и описва функция, която записва натисканията на клавишите на компютъра.

Повечето консултирани източници определят keylogger като програма, предназначена за тайно наблюдение и запис на всяко натискане на клавиш.

Това определение не е съвсем правилно, тъй като не е задължително кейлогърът да бъде програма, но може да бъде и физическо устройство.

Устройствата за кейлоггер са по-малко известни от софтуера за кейлоггер, но е важно да се има предвид съществуването и на двете, когато се говори за компютърна сигурност.

Легитимните програми могат да имат функция за кейлогър, която може да се използва (и често се използва), за стартиране на определени програми с помощта на клавишни комбинации или за промяна на разположението на клавиатурата (например клавиатурата Ninja).

Налични са голям брой програми, предназначени да позволят на мениджърите да проследяват ежедневните дейности на служителите на своите компютри., или които позволяват на потребителите да правят същото по отношение на дейностите на трети страни. Етичната граница между оправдания мониторинг и престъпния шпионаж обаче често е много слаба. Случва се законните програми често да се използват умишлено за кражба на поверителна потребителска информация, като паролите им.

Повечето съвременни кейлогъри се считат за легитимен софтуер или хардуер и се продават открито на пазара. Разработчиците и доставчиците предлагат дълъг списък от случаи, в които използването на кейлогъри е законно, като например:

  • Родителски контрол- Родителите могат да проследяват дейностите на децата си в Интернет и могат да поискат да им бъдат изпратени известия в случай на достъп до интернет сайтове със съдържание за възрастни.
  • Ревнивите съпруги или съпрузи могат да се обърнат към кейлогър да проследявате дейностите на партньора си в интернет, ако подозират, че са замесени във „виртуална връзка“.
  • Корпоративна сигурност: проследяване на използването на компютри за неработни цели или използването на станциите извън работното време.
  • Корпоративна сигурност- Използване на кейлогъри за проследяване на въвеждането на ключови думи и фрази, свързани с бизнес информация, които биха могли да навредят на бизнеса (независимо дали по същество или по друг начин), ако бъдат разкрити.
  • Друг вид сигурност- Използване на регистрационни файлове на кейлоггер за анализ и проследяване на инциденти, свързани с използването на персонални компютри;

Въпреки че споменатите обосновки са по-скоро субективни, отколкото обективни, всички ситуации могат да бъдат решени с други методи. Освен това, всяка легитимна програма за кейлоггер винаги може да се използва със злонамерени или престъпни намерения. Днес кейлогърите се използват главно за кражба на информация, свързана с различни системи за онлайн разплащания, и разработчиците на вируси не спират в желанието си да разработят нови троянски програми за кейлоггер за тази цел.

Много кейлогъри се скриват в системата, например, те могат да се маскират като руткитове, което ги превръща в напълно подли троянски програми.

Като се има предвид, че кейлогърите могат да се използват за извършване на престъпни действия, откриването на такива програми се превърна в приоритет за антивирусните компании.

Системата за оценка на Лабораторията на Касперски има специална категория, наречена Trojan-Spy, което е добра дефиниция за кейлогърите. Троянските шпионски програми, както подсказва името им, проследяват активността на потребителя, съхраняват информацията на твърдия диск на компютъра на потребителя и след това я изпращат на автора или „собственика“ на троянския кон.

Открадната информация включва потребителски натискания на клавиши и снимки на екрана, които се използват при кражба на банкова информация за извършване на онлайн измами.

За разлика от други видове злонамерени програми, кейлогърите не представляват заплаха за самата система. Те обаче могат да представляват сериозна заплаха за потребителите, тъй като могат да бъдат използвани за прихващане на пароли и друга поверителна информация, въведена чрез клавиатурата.

В резултат на това киберпрестъпниците могат да получават ПИН кодове и номера на акаунти от системи за онлайн разплащане, пароли за потребителски акаунти в онлайн игри, имейл адреси, потребителски имена, пароли за имейл и т.н.

След като киберпрестъпникът получи поверителната информация на потребителя, той може лесно да пристъпи към прехвърляне на средствата от акаунта на потребителя или да получи достъп до акаунта на онлайн игрите на потребителя.

За съжаление този достъп до лична информация понякога носи по-сериозни последици от загубата на няколко долара от потребителя. Кейлогърите могат да се използват като инструменти за индустриален и политически шпионаж, тъй като е възможно да се получат данни, които могат да включват информация за търговска собственост и класифицирани държавни материали, които биха могли да застрашат сигурността на държавните организми, например чрез кражба на ключове.

Кейлогърите, заедно с фишинг и методите за социално инженерство, са основните методи, използвани в съвременните електронни измами. За предпазливия потребител обаче не е трудно да се защити. Просто игнорирайте тези имейли, ясно идентифицирани като фишинг, и не предоставяйте никаква лична информация на подозрителни интернет сайтове. От друга страна, потребителят не може да направи много за предотвратяване на измами, извършени чрез кейлогъри, освен да прибегне до специализирани средства за защита, тъй като е почти невъзможно да се провери измама, извършена чрез кейлогъри.

Според Кристин Хупърс, управител на Компютърния екип за реагиране при извънредни ситуации в Бразилия, който работи в рамките на Интернет комисията на тази държава, кейлогърите изместиха фишинга от първото място в списъка с най-използваните методи за кражба на поверителна информация. Освен това, кейлогърите стават все по-усъвършенствани, тъй като могат да проследяват посещаваните от потребителя интернет сайтове и да записват само използването на клавиатурата на тези сайтове, които представляват особен интерес за киберпрестъпниците.

През февруари 2006 г. бразилската полиция арестува 55 души, замесени в разпространението на злонамерени програми, използвани за кражба на информация и пароли на потребителите за банкови системи. Кейлогърите бяха активирани, докато потребителите посещаваха уебсайта на своите банки, обхождайки тайно данните на тези страници и след това ги изпращайки на киберпрестъпници. Общата сума на пари, откраднати от сметки на 200 клиенти в шест банки в страната, достигна 4,7 милиона долара. Фактът, че киберпрестъпниците толкова често избират кейлогъри, се потвърждава от компаниите за компютърна сигурност.

Един от последните доклади на VeriSign подчертава, че през последните години компанията е забелязала бърз растеж на броя на злонамерените програми, които включват функционалност за кейлогъри.

В един от докладите си компанията за компютърна сигурност Symantec посочва, че около 50 процента от програмите, открити от анализаторите на компанията през последната година, не представляват пряка заплаха за компютрите, но във всеки случай се използват от киберпрестъпници за улавяне на личен потребител данни.

Според проучване на Джон Бамбенек, анализатор в института SANS, само в САЩ в момента около десет милиона компютъра са заразени със злонамерена програма, която съдържа функция за кейлоггер. Комбинирайки тези цифри с общия брой американски потребители на онлайн системи за разплащане, потенциалните загуби се оценяват на около 24,3 милиона долара.

Повечето съвременни злонамерени програми се състоят от хибриди, използващи различни технологии. Поради това всяка категория злонамерена програма може да включва програми с функции или подфункции на кейлогър. Кейлогърите се разпространяват по същия начин като другите злонамерени програми. С изключение на случаите, в които кейлогърите се купуват и инсталират от ревнив партньор или се използват от службите за сигурност, те обикновено се разпространяват, като се използват следните методи:

Keylogger може да бъде инсталиран, когато:

  • Потребителят отваря файл, прикачен към имейл съобщение.
  • Файлът се изпълнява от директория с отворен достъп в P2P мрежа.
  • Рутината за интернет страница използва уязвимост в браузър и автоматично стартира програмата, когато потребителят посети заразена интернет страница.
  • Стартира предварително инсталирана злонамерена програма, способна да изтегли и инсталира други злонамерени програми в системата.

Повечето антивирусни компании вече са добавили описания на добре познати кейлогъри към своите бази данни, като по този начин правят защитата срещу кейлогърите подобна на защитата срещу други видове злонамерени програми: те инсталират антивирусен продукт и поддържат своята база данни актуална. Тъй като обаче повечето антивирусни продукти класифицират кейлогърите като потенциално злонамерени програми, потребителите трябва да гарантират, че техният антивирусен продукт открива този тип злонамерен софтуер с настройките по подразбиране. В противен случай продуктът трябва да бъде конфигуриран по подходящ начин, за да се осигури защита срещу често срещани кейлогъри.

Тъй като основната цел на кейлогърите е да събират поверителна информация (номера на банкови карти, пароли и т.н.), най-логичните начини за защита срещу неизвестни кейлогъри са следните, като се използват:

  • Еднократно валидни пароли или двуетапен процес на удостоверяване.
  • Проактивно защитена система, предназначена за откриване на програми за кейлоггер.
  • Виртуална клавиатура.

Използването на валидни еднократни пароли помага да се минимизират загубите, ако въведената парола бъде прихваната, тъй като генерираната парола може да се използва само веднъж, а периодът от време, през който тя може да се използва, е ограничен. Дори ако бъде прихваната еднократна парола, киберпрестъпникът няма да може да я използва, за да получи достъп до поверителна информация.

За да получите еднократни пароли, можете да използвате специални механизми като:

  • USB устройство (като Aladdin eToken NG OTP).
  • Калкулатор (като RSA SecurID 900 Signing Token).

Има и други мерки за защита срещу кейлогъри:

  • Използвайки стандартен антивирус, който може да бъде адаптиран за откриване на потенциално злонамерени програми (предварително конфигурирана опция в много продукти), проактивната защита ще предпази системата от нови модификации на съществуващи кейлогъри.
  • Използване на виртуална клавиатура или система за генериране на еднократни пароли за защита срещу програми и устройства за кейлогър.