Vào tháng 2 năm 2005, Joe Lopez, một doanh nhân ở Florida, đã đệ đơn kiện Bank of America sau khi những tin tặc không rõ danh tính đã đánh cắp 90.000 USD từ tài khoản Bank of America của anh ta. Tiền đã được chuyển đến Latvia.

Cuộc điều tra cho thấy máy tính của ông Lopez đã bị nhiễm phần mềm độc hại Backdoor.Coreflood, nó ghi lại mọi lần gõ phím và gửi thông tin này cho những kẻ tấn công qua Internet. Đây là cách tin tặc chiếm lấy tên người dùng và mật khẩu của Joe Lopez, vì ông Lopez thường sử dụng Internet để quản lý tài khoản Bank of America của mình.

Tuy nhiên, tòa án đã không ra phán quyết có lợi cho nguyên đơn, cho rằng ông Lopez đã bỏ qua các biện pháp phòng ngừa cơ bản khi quản lý tài khoản ngân hàng trực tuyến của mình: chữ ký mã độc được tìm thấy trên hệ thống của ông đã được thêm vào gần như tất cả cơ sở dữ liệu sản phẩm chống vi-rút. trở lại vào năm 2003.

Tổn thất của Joe Lopez là do sự kết hợp giữa sơ suất chung và chương trình bàn phím thông thường.

Giới thiệu về Keylogger

Bản thân thuật ngữ “keylogger” là trung lập và là từ mô tả chức năng của chương trình. Hầu hết các nguồn đều định nghĩa keylogger là một chương trình được thiết kế để theo dõi và ghi nhật ký bí mật tất cả các lần gõ phím. Định nghĩa này không hoàn toàn đúng, vì keylogger không nhất thiết phải là phần mềm – nó cũng có thể là một thiết bị. Các thiết bị ghi khóa ít phổ biến hơn nhiều so với phần mềm bàn phím, nhưng điều quan trọng là bạn phải ghi nhớ chúng khi nghĩ về bảo mật thông tin.

Các chương trình hợp pháp có thể có chức năng bàn phím có thể được sử dụng để gọi một số chức năng của chương trình bằng phím nóng hoặc chuyển đổi giữa các bố cục bàn phím (chẳng hạn như Bàn phím Ninja). Có rất nhiều phần mềm hợp pháp được thiết kế để cho phép quản trị viên theo dõi những gì nhân viên đang làm trong ngày hoặc cho phép người dùng theo dõi hoạt động của bên thứ ba trên máy tính của họ. Tuy nhiên, ranh giới đạo đức giữa giám sát chính đáng và gián điệp là một ranh giới mỏng. Phần mềm hợp pháp thường được sử dụng cố ý để lấy cắp thông tin nhạy cảm của người dùng như mật khẩu.

Hầu hết các keylogger hiện đại đều được coi là phần mềm hoặc phần cứng hợp pháp và được bán trên thị trường mở. Các nhà phát triển và nhà cung cấp đưa ra một danh sách dài các trường hợp sử dụng keylogger là hợp pháp và thích hợp, bao gồm:

Quyền kiểm soát của phụ huynh: Cha mẹ có thể theo dõi những gì con họ đang làm trực tuyến và có thể được thông báo nếu có bất kỳ nỗ lực nào truy cập các trang web có nội dung người lớn hoặc nội dung không phù hợp;
Vợ / chồng hoặc đối tác ghen tuông có thể sử dụng keylogger để theo dõi nửa kia của họ trên Internet nếu nghi ngờ họ đang “lừa dối ảo”;
Bảo mật công ty: theo dõi việc sử dụng máy tính cho các mục đích không liên quan đến công việc hoặc việc sử dụng máy trạm trong vài giờ;
Bảo mật công ty: sử dụng keylogger để theo dõi đầu vào của các từ khóa và cụm từ liên quan đến thông tin thương mại có thể gây hại cho công ty (về mặt vật chất hoặc cách khác) nếu bị tiết lộ;
Các biện pháp bảo mật khác (ví dụ, thực thi pháp luật): sử dụng các bản ghi keylogger để phân tích và theo dõi các sự cố liên quan đến việc sử dụng máy tính cá nhân;
Các lý do khác.
Tuy nhiên, những lý do trên là chủ quan hơn là khách quan; tất cả các tình huống có thể được giải quyết bằng cách sử dụng các phương pháp khác. Ngoài ra, bất kỳ chương trình bàn phím hợp pháp nào vẫn có thể được sử dụng với mục đích xấu hoặc tội phạm. Ngày nay keylogger chủ yếu được sử dụng để đánh cắp dữ liệu người dùng liên quan đến các hệ thống thanh toán khác nhau trên Internet, và các tác giả virus liên tục viết ra các keylogger Trojan mới cho mục đích này.

Ngoài ra, nhiều keylogger ẩn trong hệ thống (tức là chúng có chức năng rootkit), điều này khiến chúng trở thành những Trojan chính thức.

Vì các chương trình như vậy được sử dụng rộng rãi bởi tội phạm mạng nên việc phát hiện chúng là ưu tiên của các công ty chống vi-rút. Hệ thống phân loại phần mềm độc hại của Kaspersky Lab có một danh mục đặc biệt dành cho phần mềm độc hại có chức năng bàn phím: Trojan-Spy. Trojan-spyware, như tên cho thấy, theo dõi hoạt động của người dùng, lưu thông tin trên ổ cứng của người dùng, sau đó tìm lại nó cho tác giả hoặc “chủ” của Trojan. Thông tin được thu thập bao gồm các thao tác gõ phím và ảnh chụp màn hình được sử dụng trong việc đánh cắp dữ liệu ngân hàng để hỗ trợ gian lận trực tuyến.

Tại sao keylogger là mối đe dọa

Không giống như các loại phần mềm độc hại khác, keylogger không gây ra mối đe dọa cho chính hệ thống. Tuy nhiên, chúng có thể gây ra mối đe dọa nghiêm trọng cho người dùng vì chúng có thể được sử dụng để chặn mật khẩu và các thông tin nhạy cảm khác được nhập qua bàn phím. Do đó, tội phạm mạng có thể lấy mã PIN và số tài khoản của hệ thống thanh toán điện tử, mật khẩu của tài khoản chơi game trực tuyến, địa chỉ email, tên người dùng, mật khẩu email, v.v.

Một khi tội phạm mạng chiếm được dữ liệu nhạy cảm của người dùng, chúng có thể dễ dàng chuyển tiền từ tài khoản của người dùng hoặc truy cập vào tài khoản chơi game trực tuyến của người dùng. Thật không may, việc truy cập vào dữ liệu nhạy cảm đôi khi có thể gây ra hậu quả nghiêm trọng hơn nhiều so với việc một người mất vài đô la. Keylogger có thể được sử dụng làm công cụ trong cả hoạt động gián điệp công nghiệp và chính trị, truy cập dữ liệu có thể bao gồm thông tin thương mại bí mật và tài liệu chính phủ đã phân loại có thể làm tổn hại đến an ninh của các tổ chức thương mại và chính phủ (ví dụ: bằng cách đánh cắp khóa mã hóa cá nhân) …

Keylogger, lừa đảo và kỹ thuật xã hội (xem Máy tính, Mạng và Trộm cắp) hiện là những phương pháp chính được sử dụng trong gian lận mạng. Người dùng nhận thức được các vấn đề bảo mật có thể dễ dàng bảo vệ mình khỏi bị lừa đảo bằng cách bỏ qua các email lừa đảo và không nhập thông tin cá nhân trên các trang web đáng ngờ. Tuy nhiên, người dùng khó xử lý keylogger hơn; phương pháp khả thi duy nhất là sử dụng một giải pháp bảo mật thích hợp, vì người dùng thường không thể biết rằng keylogger đã được cài đặt trên máy của họ.

Theo Christine Hoepers, quản lý đội cứu hộ máy tính của Brazil, hoạt động dưới sự bảo trợ của Ủy ban chỉ đạo Internet của đất nước, keylogger đã đẩy lừa đảo khỏi vị trí đầu tiên như một phương pháp được sử dụng phổ biến nhất để đánh cắp thông tin bí mật. Hơn nữa, keylogger ngày càng trở nên tinh vi hơn – chúng theo dõi các trang web mà người dùng đã truy cập và chỉ ghi lại các lần gõ phím được nhập trên các trang web mà tội phạm mạng quan tâm.

Trong những năm gần đây, chúng tôi đã thấy sự gia tăng đáng kể về số lượng các loại phần mềm độc hại khác nhau có chức năng bàn phím. Không người dùng Internet nào được miễn nhiễm với tội phạm mạng, bất kể anh ta / anh ta sống ở đâu trên thế giới và bất kể anh ta / anh ta làm việc với tổ chức nào.

Cách tội phạm mạng sử dụng keylogger

Một trong những sự cố keylog nổi tiếng nhất trong những năm gần đây là vụ đánh cắp hơn 1 triệu đô la từ tài khoản của khách hàng tại một ngân hàng lớn ở Scandinavia, Nordea. Vào tháng 8 năm 2006, khách hàng của Nordea bắt đầu nhận được e-mail, có lẽ là từ một ngân hàng, với đề xuất cài đặt một sản phẩm chống thư rác, được cho là đính kèm trong thư. Khi người dùng mở một tập tin và tải về máy tính của mình, máy sẽ bị nhiễm một loại Trojan nổi tiếng có tên là Haxdoor. Điều này sẽ được kích hoạt khi nạn nhân đã đăng ký với dịch vụ trực tuyến Nordea, Trojan sẽ hiển thị thông báo lỗi yêu cầu nhập lại thông tin đăng ký. Keylogger có trong trojan sẽ ghi lại dữ liệu được nhập bởi các khách hàng của ngân hàng và sau đó gửi dữ liệu này đến máy chủ của tội phạm mạng. Do đó, tội phạm mạng đã có được quyền truy cập vào tài khoản của khách hàng và chuyển tiền từ họ. Theo tác giả của Haxdoor, Trojan cũng đã được sử dụng trong các cuộc tấn công vào các ngân hàng Úc và nhiều ngân hàng khác.

Vào ngày 24 tháng 1 năm 2004, loài sâu Mydoom khét tiếng đã gây ra một vụ bùng phát lớn. MyDoom đã phá vỡ kỷ lục do Sobig thiết lập trước đó, gây ra dịch bệnh lớn nhất trong lịch sử Internet cho đến nay. Con sâu này đã sử dụng các kỹ thuật xã hội và dàn dựng một cuộc tấn công DoS vào www.sco.com; kết quả là trang web không có sẵn hoặc không ổn định trong vài tháng. Con sâu này để lại một Trojan trên các máy tính bị nhiễm, sau đó nó được sử dụng để lây nhiễm cho các máy nạn nhân bằng các sửa đổi mới của loại sâu này. Thực tế là MyDoom là một tính năng chính để thu thập số thẻ tín dụng đã không được báo cáo rộng rãi trên các phương tiện truyền thông.

Đầu năm 2005, cảnh sát London đã ngăn chặn một nỗ lực nghiêm trọng nhằm đánh cắp dữ liệu ngân hàng. Sau cuộc tấn công vào hệ thống ngân hàng, tội phạm mạng đã lên kế hoạch đánh cắp 423 triệu USD từ văn phòng của Sumitomo Mitsui ở London. Thành phần chính của Trojan đang được sử dụng, được tạo ra bởi Yeron Bolondi, 32 tuổi, là một keylogger cho phép bọn tội phạm theo dõi tất cả các lần gõ phím đã nhập khi nạn nhân sử dụng giao diện khách hàng của ngân hàng.

Vào tháng 5 năm 2005, cảnh sát Israel đã bắt giữ một cặp vợ chồng ở London và buộc tội họ phát triển phần mềm độc hại được một số công ty Israel sử dụng trong hoạt động gián điệp công nghiệp. Quy mô của vụ gián điệp đã gây sốc: các công ty bị chính quyền Israel xác định trong các báo cáo điều tra bao gồm các nhà cung cấp dịch vụ di động như Cellcom và Pelephone và nhà cung cấp truyền hình vệ tinh CÓ. Theo báo cáo, Trojan đã được sử dụng để truy cập thông tin liên quan đến cơ quan PR Rani Rahav, có khách hàng bao gồm Partner Communications (nhà cung cấp dịch vụ di động hàng đầu thứ hai của Israel) và tập đoàn truyền hình cáp HOT. Mayer, công ty nhập khẩu ô tô Volvo và Honda cho Israel, bị tình nghi phạm tội gián điệp công nghiệp chống lại Champion Motors, công ty nhập khẩu ô tô Audi và Volkswagen vào nước này. Ruth Brier-Hafrathy, kẻ đã bán Trojan do chồng cô là Michael Hafrathy tạo ra, đã bị kết án bốn năm tù và Michael bị kết án hai năm tù.

Vào tháng 2 năm 2006, cảnh sát Brazil đã bắt giữ 55 người liên quan đến việc phát tán phần mềm độc hại được sử dụng để đánh cắp thông tin và mật khẩu của người dùng vào các hệ thống ngân hàng. Keylogger được kích hoạt khi người dùng truy cập trang web ngân hàng của họ, bí mật theo dõi và sau đó gửi tất cả dữ liệu được nhập trên các trang này cho tội phạm mạng. Tổng số tiền bị đánh cắp từ 200 tài khoản khách hàng tại 6 ngân hàng ở nước này lên tới 4,7 triệu USD.

Cũng trong khoảng thời gian đó, một nhóm tội phạm tương tự cũng bị bắt, gồm những người Nga và Ukraine trẻ (20-30 tuổi). Cuối năm 2004, nhóm này bắt đầu gửi cho các khách hàng ngân hàng ở Pháp và một số quốc gia khác bằng các email chứa phần mềm độc hại – cụ thể là keylogger. Ngoài ra, các chương trình phần mềm gián điệp này đã được lưu trữ trên các trang web được chế tạo đặc biệt; người dùng đã bị thu hút vào các trang web này bằng cách sử dụng các kỹ thuật xã hội cổ điển. Cũng giống như các trường hợp được mô tả ở trên, chương trình được kích hoạt khi người dùng truy cập trang web của ngân hàng của họ, và keylogger thu thập tất cả thông tin mà người dùng nhập và gửi cho tội phạm mạng. Trong khoảng thời gian mười một tháng, hơn một triệu đô la đã bị đánh cắp.

Có nhiều ví dụ khác về tội phạm mạng sử dụng keylogger – hầu hết tội phạm mạng tài chính đều cam kết sử dụng keylogger, vì những chương trình này là công cụ hoàn chỉnh và đáng tin cậy nhất để theo dõi thông tin điện tử.