Giải thích một cách đơn giản, keylogger (KL) là một công cụ được thiết kế để theo dõi mọi thao tác thực hiện trên bàn phím máy tính thông qua một chương trình phần mềm hoặc thiết bị phần cứng. Hoạt động ghi lại thao tác bàn phím này còn được gọi là keylogging hoặc keystroke logging (trình theo dõi thao tác bàn phím).
Mặc dù keylogger không phải là chương trình phạm pháp, nhưng chúng thường được dùng cho các hoạt động gây hại.
Các ứng dụng tích cực của Keylogger
Mặc dù thường được sử dụng cho các hoạt động trái phép, nhưng keylogger cũng có một số ứng dụng tốt. Nếu được sử dụng đúng mục đích tốt, nó có thể giúp các bậc phụ huynh giám sát hoạt động sử dụng máy tính của con cái, hoặc các công ty có thể sử dụng keylogger để theo dõi hoạt động sử dụng máy tính trong giờ làm việc của nhân viên. Tuy nhiên, việc này cần được sự đồng ý của các nhân viên. Keylogger cũng có thể được sử dụng để bảo vệ (ghi lại) mật khẩu và các dữ liệu khác trong trường hợp hệ điều hành gặp sự cố (tuy nhiên chắc chắn có những cách khác tốt hơn để làm việc này). Ngoài ra, gần đây các nhà khoa học đã bắt đầu sử dụng trình theo dõi thao tác bàn phím như một công cụ để nghiên cứu quá trình viết chữ của con người.
Các ứng dụng tiêu cực của Keylogger
Như có thể thấy từ cái tên của nó, mục đích của một keylogger là để ghi lại mỗi và mọi thao tác bàn phím của máy tính mục tiêu, điều này không hẳn là một điều xấu. Tuy nhiên, không may là ứng dụng phổ biến nhất của keylogger lại liên quan đến hoạt động gây hại. Các tên tội phạm mạng đang sử dụng rộng rãi các chương trình KL để đánh cắp các thông tin nhạy cảm, như số thẻ tín dụng, mật khẩu, email cá nhân, thông tin đăng nhập tài khoản ngân hàng, số giấy phép lái xe, v.v.
Phân loại thiết bị Keylogger
Hoạt động theo dõi thao tác bàn phím có thể được thực hiện bằng một phần mềm (phần mềm keylogger) hoặc một thiết bị phần cứng (thiết bị keylogger). Để so sánh các phần mềm keylogger và thiết bị keylogger, chúng ta cần hiểu sự khác biệt giữa hai loại này. Mặc dù loại phổ biến nhất là thiết bị phần mềm, nhưng chúng ta cũng nên biết cách thức hoạt động của thiết bị keylogger.
Thiết bị keylogger:
Thường bao gồm một con chíp nhỏ hoặc một dây điện được kết nối với máy tính để bàn hoặc laptop.
Hầu hết các thiết bị KL rất dễ gỡ bỏ.
Thu thập thông tin có thể xem xét bằng một chương trình máy tính điều khiển kể cả sau khi chip hoặc dây điện đã được gỡ ra.
Thường là loại keylogger mà các công ty muốn sử dụng để giám sát nhân viên của mình.
Không giống với các phần mềm keylogger, các phiên bản firmware của thiết bị phần cứng KL có thể được gắn với BIOS của máy tính và bắt đầu ghi lại dữ liệu ngay khi máy tính bật lên.
Các thiết bị theo dõi thao tác bàn phím không dây (wireless KL sniffer) có thể chặn giao tiếp giữa bàn phím không dây và máy tính.
Phần mềm keylogger
Thật không may là việc phát hiện ra một phần mềm keylogger khó hơn rất nhiều. Có rất nhiều loại phần mềm keylogger với nhiều phương pháp và kỹ thuật theo dõi, nhưng nhìn chung, có các loại sau:
Loại này bao gồm một chương trình phần mềm được hacker bí mật cài đặt lên máy tính của bạn. Chương trình này có thể do máy tính trực tiếp tải về (ví dụ qua các cuộc tấn công phishing) hoặc có thể được tải về từ xa.
Các phần mềm keylogger phổ biến nhất chỉ ghi lại hoạt động của bàn phím máy tính, nhưng ngoài ra cũng có những phiên bản phần mềm được chỉnh sửa có khả năng chụp màn hình và ghi lại vùng lưu trữ tạm thời của bộ nhớ (clipboard).
Những loại phần mềm KL ít phổ biến hơn bao gồm các phần mềm dựa trên: Javascript (được đưa lên các website), API (chạy trong một ứng dụng), và các mẫu đơn trên web (ghi lại bất kỳ dữ liệu nào được nhập vào các mẫu đơn trên web).
Phòng ngừa thiết bị phần cứng keylogger
Rất khó xảy ra trường hợp bạn bị tấn công bởi một thiết bị keylogger, đặc biệt khi bạn ở trong nhà. Tuy nhiên, điều này có thể xảy ra ở nơi công cộng. Vì thiết bị keylogger thường sử dụng cổng USB để hoạt động, nên cách bảo vệ tốt nhất là kiểm tra khu vực cổng USB của máy tính bạn đang sử dụng.
Khi nhập các thông tin nhạy cảm, chẳng hạn như mật khẩu, bạn có thể sử dụng chuột để đánh lừa keylogger. Ví dụ, bạn hãy nhập ký tự cuối cùng trong mật khẩu trước, sau đó di chuyển chuột ra trước ký tự và nhập phần còn lại. Keylogger sẽ hiểu nhầm rằng ký tự cuối cùng của bạn là ký tự đầu tiên. Ngoài ra bạn cũng có thể chọn và thay thế văn bản khi bạn nhập. Bạn có thể thử nhiều biến thể của phương thức này hoặc các kỹ thuật nhập dữ liệu kiểu đánh lừa khác. Tuy nhiên, chúng không thực sự hiệu quả và có thể không có tác dụng với các loại keylogger phức tạp hơn, ví dụ các thiết bị có thể đồng thời ghi lại màn hình hoặc hoạt động của chuột.
Phòng ngừa phần mềm keylogger
Các phần mềm keylogger khó phát hiện hơn, nhưng cài đặt một chương trình diệt virus tốt sẽ có thể giúp bạn được an toàn.
Cài đặt một chương trình chống keylogger cũng là một lựa chọn, vì các chương trình này được thiết kế đặc biệt để phát hiện, gỡ bỏ và phòng ngừa các cuộc tấn công keylogger.
Hãy cẩn thận với các tệp đính kèm và đường dẫn trong email. Không nên bấm vào các quảng cáo và các trang web không rõ nguồn gốc.
Luôn cập nhật các ứng dụng phần mềm và hệ điều hành của bạn
Bất kỳ người dùng nào sử dụng ngân hàng trực tuyến hoặc các hoạt động trực tuyến liên quan đến tiền khác phải đặc biệt cẩn trọng (bao gồm cả những người sử dụng và người giao dịch tiền điện tử).
Cách phát hiện và gỡ bỏ một keylogger
Phương thức dễ dàng nhất để phát hiện một phần mềm keylogger là kiểm tra các chương trình đang hoạt động từ phần chương trình hệ thống. Nếu có một chương trình nào đó nhìn lạ lẫm, bạn nên tìm kiếm trên mạng và cố gắng xác định liệu đó là từ một chương trình hợp pháp hay từ một keylogger đã biết. Ngoài ra, bạn cũng nên kiểm tra lưu lượng đi ra từ máy tính của bạn.
Gỡ bỏ một phần mềm keylogger không phải là việc dễ dàng nhưng có thể thực hiện được. Trước hết bạn nên cố gắng cài đặt một chương trình chống keylogger trên hệ thống của bạn và kiểm tra liệu nó có thể bị gỡ bỏ. Nếu máy tính của bạn vẫn hoạt động một cách kỳ lạ và bạn nghi ngờ rằng chương trình chống keylogger không thể giải quyết vấn đề, có thể bạn nên định dạng và cài đặt lại hoàn toàn hệ điều hành của bạn.