Khi nghĩ đến phần mềm độc hại/vi rút, chúng tôi thường cho rằng phần mềm độc hại có mục đích làm hỏng hệ điều hành của thiết bị, đánh cắp dữ liệu được lưu trữ hoặc ngăn chặn quyền truy cập vào dữ liệu của chúng tôi. Suy nghĩ như vậy có xu hướng nhắm mắt làm ngơ trước con voi trong phòng: keylogger.
Keylogger là một trong những loại phần mềm độc hại nguy hiểm nhất, nếu không nói là nguy hiểm nhất. Mục đích của keylogger là đánh cắp mật khẩu tài khoản và thông tin tài chính, trực tiếp dẫn đến mất tài chính và danh tính.
Ngoài tính nguy hiểm, các biện pháp chống phần mềm độc hại truyền thống như chống vi-rút không đủ để bảo vệ khỏi keylogger.
Trong bài viết này, chúng ta sẽ đi sâu vào thế giới của keylogger. Tôi sẽ cho bạn biết chúng là gì và quan trọng nhất là cách bạn có thể tự bảo vệ mình khỏi loại phần mềm độc hại quỷ quyệt và nguy hiểm này.
Keylogger là gì?
Chức năng chính của keylogger là theo dõi và ghi lại các lần gõ phím. Nó thường lưu trữ bất cứ điều gì bạn gõ trên bàn phím vào một tệp ẩn và sau đó gửi tệp đó qua email cho hacker hoặc tải nó lên máy chủ/trang web.
Sau đó, hacker có thể sử dụng dữ liệu này để đánh cắp mật khẩu đăng nhập cũng như thông tin thẻ tín dụng. Trong một cuộc tấn công có chủ đích, chúng cũng có thể đánh cắp thông tin và kế hoạch bí mật của công ty.
Có hai loại keylogger, keylogger phần mềm và keylogger phần cứng. Cả hai đều đánh cắp thông tin, nhưng chúng hoạt động theo những cách khác nhau và yêu cầu các giải pháp bảo vệ khác nhau.
# 1. Phần mềm keylogger
Đây là những loại keylogger phổ biến nhất thường được sử dụng cho các cuộc tấn công không nhắm mục tiêu quy mô lớn. Sau khi được cài đặt trên PC, chúng hoạt động ở chế độ nền, ghi và gửi dữ liệu mà không lộ diện.
Chúng được tạo ra để hoạt động bằng API hệ thống Windows hoặc hạt nhân Windows. Keylogger dựa trên API hệ thống Windows chúng chạy giống như một chương trình thông thường và thường ngụy trang bằng cách hoạt động như một chương trình hợp pháp. Bạn có thể tìm thấy chúng trong Trình quản lý tác vụ hoặc trong danh sách các chương trình đã cài đặt.
Keylogger dựa trên hạt nhân Windows có đặc quyền cao hơn và có thể ẩn trong các quy trình hệ thống khác Windows. Người dùng khó phát hiện chúng hơn nếu không có sự trợ giúp của chương trình chống vi-rút chuyên tìm kiếm hành vi giống như rootkit. Ngoài ra, họ cũng có khả năng tiếp cận thông tin tốt hơn vì họ có các quyền ở cấp hệ thống thay vì dựa vào chúng. Windows API bị giới hạn ở cấp độ quyền của người dùng.
#2. Keylogger phần cứng
Keylogger phần cứng là một thiết bị vật lý cắm vào cáp bàn phím hoặc cổng USB để lấy cắp dữ liệu. Chúng thường không có phần mềm đi kèm nên người dùng hoặc phần mềm chống vi-rút không thể phát hiện ra chúng trong hệ điều hành. Tuy nhiên, điều này cũng có nghĩa là chúng chỉ bị giới hạn trong việc ghi lại các lần gõ phím.
Mặc dù một số keylogger nâng cao cũng có thể cài đặt phần mềm hoặc chương trình cơ sở để ghi lại nhiều dữ liệu hơn và thực hiện các tác vụ. Nhưng tất nhiên sau đó chúng cũng có thể bị phần mềm chống vi-rút phát hiện. Dữ liệu được ghi lại có thể được gửi lại cho hacker bằng thiết bị không dây hoặc phần mềm chia sẻ dữ liệu tích hợp. Hacker cũng có thể gỡ bỏ thiết bị một cách vật lý nếu có thể để xem dữ liệu.
Vì là một thiết bị vật lý nên keylogger phần cứng được sử dụng trong các cuộc tấn công có chủ đích, thường là ở các doanh nghiệp, để đánh cắp thông tin bí mật.
Sử dụng keylogger hợp pháp hoặc bất hợp pháp
Thông thường, keylogger được coi là bất hợp pháp hoặc ít nhất là phi đạo đức. Tuy nhiên, chúng có những cách sử dụng hợp pháp tùy thuộc vào mục đích bạn sử dụng và luật pháp ở quốc gia của bạn.
Trong hầu hết các trường hợp, việc cài đặt keylogger trên thiết bị của bạn không bị coi là bất hợp pháp. Hầu hết các ứng dụng giám sát thiết bị được quảng cáo cho phụ huynh và người sử dụng lao động để giám sát trẻ em hoặc nhân viên đều có keylogger tích hợp sẵn.
Mặc dù một số quốc gia có thể có luật bắt buộc phải có sự đồng ý của cá nhân trước tiên. ECPA ở Hoa Kỳ và PIPEDA ở Canada buộc người sử dụng lao động phải có được sự đồng ý của nhân viên. Tuy nhiên, nhiều quốc gia và tiểu bang cho phép giám sát bí mật, đó là lý do tại sao các ứng dụng gián điệp và chống gián điệp tồn tại.
Tất nhiên, bất kỳ keylogger nào được cài đặt trên một thiết bị không rõ nguồn gốc mà không được phép đều là bất hợp pháp.
Keylogger nguy hiểm như thế nào?
Mục đích duy nhất của keylogger là đánh cắp thông tin nhạy cảm có thể gây nguy hiểm khi rơi vào tay kẻ xấu và chúng thực sự rất giỏi trong việc đó. Không giống như các cuộc tấn công lừa đảo trong đó người dùng nhập nhầm thông tin trên một trang web độc hại, keylogger có thể đơn giản đánh cắp mọi thứ được gõ bằng bàn phím.
Tin tặc cũng rất giỏi trong việc lọc lượng dữ liệu bị đánh cắp quá lớn, chẳng hạn như chỉ mở dữ liệu bằng ký hiệu @ hoặc số. Dưới đây là một số lý do chính đáng khiến keylogger có thể nguy hiểm.
Họ không đơn độc
Nhiều keylogger hiện đại có thể làm được nhiều việc hơn là chỉ ghi lại các lần gõ phím. Nếu bạn trở thành nạn nhân, rất có thể không chỉ hoạt động bàn phím được ghi lại. Thông tin họ có thể đánh cắp bao gồm nội dung trong khay nhớ tạm, hoạt động trên hệ điều hành của bạn, URL bạn truy cập và ảnh chụp màn hình hoạt động của bạn.
Chúng ảnh hưởng đến cả máy tính và điện thoại thông minh
Keylogger gây ra mối đe dọa cho cả máy tính cá nhân và điện thoại thông minh, và keylogger trên điện thoại thông minh thậm chí có thể phức tạp hơn so với các phần mềm tương tự trên PC. Vì điện thoại thông minh có thẩm quyền tốt hơn để theo dõi chính xác những gì đang xảy ra trên điện thoại nên keylogger có khả năng đánh cắp và hiển thị dữ liệu tốt hơn.
Chúng có thể dẫn đến các cuộc tấn công kỹ thuật xã hội
Hầu hết các cuộc tấn công kỹ thuật xã hội phức tạp và thậm chí cả các cuộc tấn công lừa đảo cá voi đều sử dụng keylogger để tìm hiểu thêm về một người. Ngay cả khi họ không thể lấy cắp thông tin tài khoản do được tăng cường bảo mật (sẽ nói thêm về điều đó sau), họ vẫn có thể tìm hiểu thêm về người thực hiện cuộc tấn công kỹ thuật xã hội.
Xâm phạm quyền riêng tư và tống tiền
Vì họ có thể ghi lại mọi thứ đã nhập nên họ cũng có thể đọc tin nhắn của bạn gửi cho người khác trên mạng xã hội hoặc email. Nếu đó là một cuộc tấn công có chủ đích, tin tặc có thể tống tiền người dùng vì bất kỳ hoạt động bất hợp pháp nào nhằm mục đích giữ bí mật.
Làm thế nào để bảo vệ bạn khỏi keylogger?
Cũng giống như bất kỳ phần mềm độc hại nào khác, bạn có thể bảo vệ máy tính của mình khỏi bị nhiễm keylogger bằng cách sử dụng các công cụ bảo vệ phù hợp và không tải xuống phần mềm độc hại. Bạn cũng có thể áp dụng một số phương pháp nhất định có thể bảo vệ bạn ngay cả khi máy tính của bạn bị nhiễm virus. Dưới đây là tất cả các cách có thể để bảo vệ bạn khỏi keylogger:
# 1. Tải phần mềm diệt virus bằng keylogger
Phần mềm diệt virus cơ bản sẽ không hoạt động hiệu quả trước keylogger. Bạn cần một giải pháp mạnh mẽ có cả trình quét keylogger và trình quét rootkit. Avast One không chỉ cung cấp phần mềm độc hại và khả năng bảo vệ trực tuyến tuyệt vời mà còn là công cụ loại bỏ keylogger và quét rootkit.
Tính năng bảo vệ tích cực của nó sẽ ngăn chặn việc cài đặt hầu hết các keylogger, cả Windows Dựa trên API và kernel.
#2. Sử dụng phần mềm mã hóa tổ hợp phím
Phần mềm mã hóa tổ hợp phím sẽ mã hóa tổ hợp phím của bạn ở cấp độ kernel để đảm bảo rằng chỉ ứng dụng bạn đang nhập mới có thể đọc được dữ liệu. Điều này đảm bảo rằng không có keylogger nào nhìn thấy thao tác gõ phím. Những ứng dụng này thường đi kèm với danh sách ứng dụng được xác định trước mà chúng có thể mã hóa, vì vậy hãy đảm bảo phần mềm hỗ trợ các ứng dụng bạn sử dụng.
Tôi khuyên dùng KeyScrambler vì nó hỗ trợ hàng trăm ứng dụng bao gồm trình duyệt, ứng dụng độc lập và ứng dụng kinh doanh. Điều tuyệt vời nhất là phiên bản miễn phí của nó ít nhất giữ cho thao tác gõ phím của bạn an toàn trong trình duyệt trong khi hầu hết các phiên bản khác thậm chí không có phiên bản miễn phí.
#3. Sử dụng bàn phím ảo
Nhiều keylogger không theo dõi các từ gõ trên bàn phím ảo. Đối với những thông tin nhạy cảm như chi tiết đăng nhập, bạn có thể mở bàn phím ảo để nhập từ bằng cú click chuột. Trong hệ thống Windows bạn có thể nhấn Ctrl+Windows+O để khởi chạy bàn phím ảo.
#4. Tránh các liên kết và tải xuống đáng ngờ
Hầu hết các keylogger đều cài đặt trên PC dưới dạng phần mềm hợp pháp hoặc đi kèm với phần mềm hợp pháp. Không tải xuống nội dung từ các nguồn không đáng tin cậy và phải hết sức cẩn thận trong quá trình cài đặt để tránh vô tình cài đặt thêm bất cứ thứ gì.
Nội dung bất hợp pháp hoặc phi đạo đức thường có nguy cơ bị nhiễm phần mềm độc hại cao hơn như keylogger. Vì vậy, hãy tránh tải xuống nội dung có bản quyền, hack/lừa đảo, công cụ sửa chữa tự động và hầu hết những thứ liên quan đến torrent.
Các liên kết đáng ngờ nhận được trong email cũng là điều không nên vì chúng có thể dẫn đến một trang web có thể tự động tải xuống keylogger.
#5. Sử dụng Trình quản lý mật khẩu
Trình quản lý mật khẩu bảo vệ tất cả mật khẩu trong kho tiền được mã hóa và tự động điền thông tin đăng nhập khi cần mà không cần bàn phím. Vì bàn phím không được sử dụng để nhập mật khẩu nên keylogger không thể lấy cắp thông tin đăng nhập.
1Password là một trong những trình quản lý mật khẩu cung cấp nhiều không gian lưu trữ cho mật khẩu và tài liệu, đồng thời hoạt động trên cả PC và điện thoại thông minh. Thật không may, bạn vẫn cần nhập mật khẩu chính được sử dụng để xác thực trình quản lý mật khẩu, mật khẩu này có thể bị đánh cắp. Mặc dù điều này có thể được ngăn chặn bằng Xác minh 2 bước (sẽ nói thêm về điều đó sau).
#6. Bật xác minh hai bước nếu có thể
Xác minh hai bước bổ sung thêm một lớp bảo mật bằng cách yêu cầu xác thực thêm, thường được thực hiện bởi một thiết bị bổ sung. Ngay cả khi mật khẩu của bạn bị xâm phạm – chẳng hạn như do keylogger – thì hacker vẫn cần quyền truy cập vào thiết bị kia.
Tất cả các trình quản lý mật khẩu và các ứng dụng/dịch vụ phổ biến nhất đều cung cấp Xác minh 2 bước. Các dịch vụ phổ biến như Google, Dropbox, Facebook, Twitter1Password, Zapier và tài khoản Applecung cấp xác minh hai bước.
#7. Tránh các cơ sở công cộng
Các thiết bị công cộng có thể có cả keylogger phần mềm và phần cứng để đánh cắp thông tin. Tránh sử dụng các thiết bị công cộng để truy cập thông tin nhạy cảm. Nếu bạn phải truy cập nó, ít nhất hãy thay đổi thông tin đăng nhập của bạn sau từ một máy tính an toàn.
#8. Hạn chế cài đặt phần mềm với tư cách quản trị viên
Nếu việc quản trị máy tính của công ty nằm trong tay bạn thì việc ngăn chặn việc cài đặt phần mềm là một cách tốt để ngăn chặn việc cài đặt keylogger. Vì hầu hết các máy tính tại nơi làm việc không cần phần mềm bổ sung để chạy nên bạn có thể cấu hình hệ thống Windows để nó không cho phép người dùng cài đặt phần mềm.
#9. Cập nhật hệ điều hành
Một hệ điều hành lỗi thời có thể có các lỗ hổng bảo mật có thể bị khai thác để cài đặt và chạy keylogger. Điều này áp dụng cho cả máy tính để bàn và điện thoại thông minh. Bạn phải có hệ điều hành mới nhất nhưng phải đủ mới để nhận được các bản vá bảo mật.
#10. Luôn bật tường lửa của bạn
Trong hệ thống Windows đảm bảo tường lửa của bạn không bị tắt. Bởi vì keylogger cần thực hiện các cuộc gọi đáng ngờ. Họ thường bị tường lửa bắt khi cố gắng gửi lại dữ liệu cho hacker. Bạn cũng có thể thử sử dụng GlassWire để theo dõi mọi cuộc gọi bạn thực hiện (sẽ nói thêm về điều đó sau).
Làm thế nào để phát hiện xem máy tính của bạn có bị nhiễm virus hay không?
Nếu bạn tin rằng máy tính của mình đã bị nhiễm virus ngay cả sau khi áp dụng các biện pháp bảo vệ, có một số mẹo và công cụ có thể giúp xác nhận điều này. Dưới đây là một số lời khuyên phổ biến:
# 1. Hiệu suất máy tính giảm đột ngột
Nhiều thứ có thể ảnh hưởng đến hiệu suất máy tính của bạn, chẳng hạn như cài đặt không được tối ưu hóa hoặc phần cứng kém. Tuy nhiên, nếu giảm đột ngột thì có thể do keylogger. Những phần mềm độc hại như vậy thường được mã hóa kém và một số liên tục gửi dữ liệu cho tin tặc, điều này có thể ảnh hưởng đến hiệu suất máy tính của bạn.
Điều này đặc biệt đúng nếu chuyển động của bàn phím và chuột bị trì hoãn. Ví dụ: mọi thứ bạn nhập đều có độ trễ trên 200 mili giây và điều tương tự cũng xảy ra với chuyển động của chuột. Hơn nữa, nếu con trỏ chuột cũng biến mất ngẫu nhiên thì đó có thể là hành động của keylogger.
#2. Sử dụng Trình quản lý tác vụ
Trình quản lý tác vụ có thể hiển thị chính xác các quy trình đang mở. Nếu đó là keylogger dựa trên Windows API sẽ xuất hiện trong Trình quản lý tác vụ. Mở Trình quản lý tác vụ bằng cách nhấn Ctrl+Shift+Esc.
Tại đây, nhấp chuột phải vào khu vực tiêu đề trên cùng và bật tùy chọn Nhà xuất bản. Điều này sẽ cho phép bạn bỏ qua tất cả các quy trình liên quan đến hệ thống Windowsbởi vì họ đều có Microsoft là nhà xuất bản. Đối với phần còn lại, chỉ cần tìm kiếm các quy trình cho ứng dụng bạn chưa cài đặt hoặc biết ít về nó. Nếu bạn tìm thấy nó, hãy tìm kiếm trực tuyến để xem nó có phải là chương trình hợp pháp hay không.
#3. Kiểm tra các tập tin đã mở gần đây
Vì keylogger thường lưu dữ liệu vào một file ẩn nên chúng sẽ xuất hiện trong các file gần đây trên hệ thống. Windows mỗi lần chúng được chỉnh sửa. Khu vực này chỉ hiển thị các tệp được người dùng mở gần đây, vì vậy bất kỳ tệp nào bạn không nhớ đã mở sẽ gây nghi ngờ. Bạn có thể tìm kiếm tệp thủ phạm trực tuyến hoặc thử xem thông tin chi tiết của tệp bằng cách mở tệp dưới dạng tệp notepad.
Để truy cập các tập tin mới nhất trên hệ thống của bạn Windows 11, mở menu Bắt đầu và nhấp vào nút Thêm ở góc dưới bên phải. Điều này sẽ hiển thị tất cả các tập tin được mở/chỉnh sửa gần đây.
#4. Phát hiện keylogger phần cứng
Keylogger phần cứng thường có hình dạng USB với cổng USB ở mặt sau nơi kết nối cáp bàn phím. Điều này thực sự dễ dàng nhận ra, nhưng cũng có những cái khó hơn có thể hoạt động như một bộ sạc hoặc cáp USB. Một số trong số chúng thậm chí có thể được cài đặt bên trong bộ xử lý mà mắt thường không nhìn thấy được.
Nếu bạn nghi ngờ, cách tốt nhất để tìm keylogger là kiểm tra tất cả các cổng USB và dây bàn phím. Bạn cũng có thể mở vỏ CPU và kiểm tra xem có thứ gì bổ sung được kết nối với cổng USB hay không.
#5. Sử dụng trình theo dõi web
Công cụ theo dõi mạng như GlassWire sẽ không chỉ hoạt động như một tường lửa để ngăn chặn các kết nối đáng ngờ mà còn thông báo cho bạn về bất kỳ kết nối nào. Theo mặc định, nó được cấu hình để thông báo cho bạn bất cứ khi nào có kết nối tới máy chủ mới. Bạn có thể xem chính xác ứng dụng nào đã thực hiện kết nối và ở đâu.
Bằng cách sử dụng thông tin này, bạn có thể phát hiện các kết nối đáng ngờ theo cách thủ công, ngay cả khi GlassWire không tự động phát hiện chúng.
Phải làm gì nếu máy tính của bạn bị nhiễm virus?
Vậy là bạn đã phát hiện ra rằng máy tính của mình đã bị nhiễm virus và thậm chí có thể bạn đã phát hiện ra ứng dụng chính xác đó là keylogger. Giải pháp rất đơn giản: loại bỏ nó. Hầu hết các keylogger đều dựa trên API hệ thống Windows nó sẽ cho phép bạn gỡ cài đặt dễ dàng giống như bất kỳ ứng dụng nào khác mặc dù một số ứng dụng có thể phản đối.
Dưới đây là một số điều bạn có thể làm để thoát khỏi nhiễm trùng, cho dù có biết hay không:
Sử dụng chương trình gỡ cài đặt
Nếu bạn phát hiện thấy ứng dụng keylogger, tốt nhất bạn nên xóa ứng dụng đó bằng ứng dụng gỡ cài đặt của bên thứ ba. Một ứng dụng như vậy sẽ không chỉ xóa ứng dụng chính mà còn xóa mọi dữ liệu liên quan, bao gồm cả các mục đăng ký. Hơn nữa, nếu ứng dụng từ chối gỡ cài đặt, trình gỡ cài đặt sẽ chỉ xóa mọi thứ liên quan đến ứng dụng đó để ngăn ứng dụng hoạt động.
IObit uninstaller là ứng dụng yêu thích của tôi cho mục đích này. Bạn có thể chọn keylogger từ danh sách chương trình hoặc duyệt qua máy tính của mình và thêm tệp thực thi của nó. Nếu vì lý do nào đó mà bạn vẫn không gỡ bỏ được, hãy thử khởi động lại hệ thống Windows ở chế độ an toàn và xóa nó một lần nữa.
Chạy quét sâu bằng phần mềm chống vi-rút của bạn
Một lần nữa, tôi khuyên dùng Avast One cho việc này. Nó có cả quét sâu và quét thời gian khởi động. Quét sâu sẽ tìm kiếm phần mềm độc hại ở mọi ngóc ngách trong hệ điều hành của bạn. Nếu nó không thể tìm và loại bỏ keylogger, quá trình quét trong thời gian khởi động sẽ quét máy tính của bạn trước khi hệ điều hành và các ứng dụng cấp kernel có thể can thiệp vào quá trình quét.
Khôi phục hoặc cài đặt lại hệ điều hành
Hai phương pháp trên sẽ hoạt động. Tuy nhiên, nếu không có gì hiệu quả, bạn có tùy chọn đặt lại thay vì xử lý thiết bị bị nhiễm. Có rất nhiều cách để làm điều này. Bạn có thể khôi phục máy tính của mình về ngày trước đó trước khi bị nhiễm virus, đặt lại hoàn toàn hoặc thậm chí gỡ cài đặt hoàn toàn và cài đặt hệ điều hành mới.
Trong Cài đặt hệ thống Windows đi tới Hệ thống > Khôi phục để tìm các tùy chọn này. Nếu bạn quyết định thiết lập lại toàn bộ, hãy đảm bảo bạn sao lưu dữ liệu quan trọng của mình.
Suy nghĩ cuối cùng 💭
Đọc trước khi nhấp vào nội dung nào đó và tránh nội dung bất hợp pháp/phi đạo đức thường là đủ để bảo vệ bạn khỏi hầu hết các cuộc tấn công của phần mềm độc hại. Nếu bạn cẩn thận, ngay cả một chương trình cơ bản Windows Defender và tường lửa là đủ để giữ cho bạn an toàn. Mặc dù đối với những người có ý thức, Avast One và GlassWire là sự kết hợp tốt để bảo vệ chống lại keylogger và phần mềm độc hại khác.
Bạn cũng có thể kiểm tra các trình quét loại bỏ vi-rút trả phí và miễn phí.
