keylogger چیست؟ (بخش ۱)

۲۶ آبا ۱۳۹۵ بدون دیدگاه مطالب آموزشی

Keylogger : روش کار و چگونگی شناسایی آنها

تصمیم گرفتیم که مطلبی جامع در مورد Keylogger تنظیم کنیم. وقتی آغاز به ترجمه و تألیف این مطلب کردیم از اهمیت موضوع Keylogger آگاه بودیم. با این حال مطالعه گسترده منابع و گزارش های بیشمار در مورد خطرات بالقوه و بالفعل تهدیدات این چنینی، ما را بر آن داشت که بیشتر به این موضوع بپردازیم. فعلا قسمت اول مطلب Keylogger را مطالعه کنید. در قسمت بعد از این تهدید وحشتناک و خاموش بیشتر خواهید آموخت. مشکلی که هیچ تاثیری روی سرعت سیستم شما نمی گذارد و کارکرد رایانه شما را دچار مشکل نمی کند، اما می تواند زندگیتان را دچار مشکلات جدی نماید. در قسمت دوم نمودارهایی در مورد حجم عمده تهدیدات بدافزاری که سهم مسائل مالی در آن بسیار زیاد است را مطالعه خواهید کرد تا متوجه شوید که مهم نیست در کجای دنیا باشید، خطر همواره در کمین است.

کی‌لاگر ( keystroke logger, key logger یا  system monitor)

ساختار Keylogger را بهتر بشناسیم
ساختار Keylogger را بهتر بشناسیم

در ماه فوریه سال ۲۰۰۵، جو لوپز، یک تاجر اهل فلوریدا، متوجه شد که هکرهای ناشناس ۹۰۰۰۰ دلار پول او را به سرقت برده و به حسابی در لتونی منتقل کرده اند. البته امیدواریم دوستان اهل لتونی از این خبر، ناراحت نشوند. تحقیقات بیشتر نشان داد که رایانه آقای لوپز توسط یک برنامه بدافزاری مخرب به اسم Backdoor.Coreflood آلوده شده است و در نتیجه اطلاعات تمامی دفعاتی که یک کلید را می فشرد ضبط شده و به کاربران خرابکار از طریق اینترنت فرستاده می شود. ایده کار چندان پیچیده نبود. کاربران خرابکار کافی بود نام وب سایت بانکی و عباراتی که بعد از آن از طریق صفحه کلید وارد شده بودند را بررسی کنند! خرابکارها از نام کاربری و رمز عبور آقای لوپز برای انتقال وجه استفاده کردند، چرا که او عمدتا از اینترنت برای انجام امور مربوط به حسابش در بانک مرکزی آمریکا استفاده می کرد.

با این حال دادگاه کمک چندانی به شاکی نکرد، بیشتر او را مورد نکوهش قرار داد که اقدامات امنیتی لازم را رعایت نکرده است. روی سیستم او یک بدافزار keylogger پیدا شد که از سال ۲۰۰۳ توسط پایگاه داده آنتی ویروس های معتبر، شناخته شده بود!

برای ایمن شدن، همین حالا اقدام کن...

Keylogger تاثیر منفی روی سرعت رایانه شما نخواهد گذاشت و این خطری خاموش است!

 

شرکتها

در واقع نرم افزارهای قانونی Keylogger بسیار محبوب مدیرانی هستند که عاشق کنترل همه اتفاقات در شرکت ها هستند. در بسیاری از موارد، عمده فعالیت بسیاری از مدیران، صرف کاربری همین نرم افزارها می شود. اما به طور معمول، برای بررسی کارآیی کارمندان یا بررسی اینکه چه اطلاعاتی توسط کارمندان رد و بدل می شود استفاده می شوند تا مبادا اطلاعات تجاری مهم از دست بروند و آسیب تجاری به شرکت وارد شود.

موارد قانونی و دولتی

مواردی هستند که تجزیه و تحلیل سیستم های شخصی افراد را به کمک Keylogger ها ضروری می سازند. برخی موارد که لزوم اجرای قانون یا پیشگیری از خطرات امنیتی بالقوه هستند، این نوع از کاربری Keylogger را برای برخی نهاد ها توجیه پذیر می کنند.

موارد بالا لزوما شامل همه موارد نیستند و طبعا شامل نرم افزارهای غیرقانونی نمی شوند. اشاره کردیم که هر نرم افزار قانونی نیز می تواند برای انجام فعالیت های مخرب KeyLogger استفاده شود. امروزه از Keyloggerها برای دزدی اطلاعات مربوط به سیستم های پرداخت آنلاین بیشتر استفاده می شود و نویسنده های ویروس مستقیما تروجان های Keylogger را برای این منظور برنامه نویسی می کنند.

علاوه بر این بسیاری از Keyloggerها خودشان را درون سیستم پنهان می کنند (به نوعی ساختاری شبیه روت کیت دارند) که از آنها تروجان های تمام عیار می سازد. از آنجایی که این برنامه ها توسط مجرمان سایبری مورد استفاده قرار می گیرند، شناسایی و دفع آنها از اولویت های کمپانی های آنتی ویروس به شمار می آید. تقریبا همه شرکت های تولید کننده محصولات امنیتی، یک دپارتمان را به طور کامل به برنامه های بدافزاری با کارکرد Keylogger اختصاص داده اند که به عنوان مثال در شرکت کسپرسکی آنها را تحت عنوان برنامه های تروجان جاسوسی یا Trojan-Spy نیز طبقه بندی کرده اند. این برنامه ها کلیه فعالیت های کاربر را مانیتور می کنند و اطلاعات را به مغز متفکر پشت تروجان یا Master می فرستند. اطلاعات شامل کلیه عبارات وارد شده توسط صفحه کلید یا حتی تصاویر از برنامه ها و دسکتاپ می باشد که برای مقاصد کلاهبرداری سایبری مورد استفاده قرار می گیرند.

ساختار Keylogger را بهتر بشناسیم

کلمه Keylogger به خودی خود یک کلمه بدون بار منفی است و کارکرد برنامه را مشخص می کند. بیشتر منابع، Keylogger را تحت عنوان نرم افزاری توصیف کرده اند که به نظارت مخفیانه کامپیوتر و ثبت همه کلید هایی که فشرده می شوند می پردازد. لزوما این تعریف درست نیست، چون Keylogger می تواند حتی یک سخت افزار باشد! دستگاه های Keylogger خیلی نادرتر هستند، اما مهم است که وجود آنها را هنگامی که در زمینه امنیت اطلاعات فعالیت می کنید، نادیده نگیرید.

برنامه های قانونی نیز دارای توابع مربوط به Keylogger هستند که می تونند برای استفاده از کلید های میانبر در توابع برنامه های مختلف استفاده شوند یا برای سوئیچ کردن بین طرح بندی های مختلف صفحه کلید مورد استفاده قرار گیرند. نرم افزارهای قانونی زیادی وجود دارند که برای توانمند ساختن مدیران سیستم در رهگیری فعالیت کارمندانشان در طول روز، یا حتی تأمین امکانی برای کاربران برای بررسی فعالیت اشخاص ثالث روی رایانه شان، طراحی شده اند. بحث های اخلاقی مربوط به توجیه نظارت روی کارمندان یا جاسوسی از کارمندان، فعلا موضوع بحث ما نیست. متاسفانه زمانهایی هست که نرم افزارهای قانونی برای دزدی اطلاعات کاربران همچون کلمات عبور، مورد استفاده قرار می گیرند.

بسیاری از Keyloggerهای مدرن در قالب نرم افزارها یا سخت افزارهای قانونی و در بازار به سهولت فروخته می شوند. توسعه دهندگان و فروشندگان فهرستی از مواردی که توجیهی برای فروش این خدمات هست در چنته دارند، از این موارد می توان به برخی اشاره کرد:

نظارت والدین

این روزها اطلاعات بسیاری در دنیای وب وجود دارند و والدین می خواهند بفهمند که فرزندان آنها در دنیای اینترنت چه می کنند که مبادا وارد سایت های مربوط به بزرگسالان شده یا اطلاعاتی را پیش از موعد دریافت کنند.

نامزد، همسر یا شریک شکاک یا حسود

چه باور کنید و چه نکنید، یکی از جذاب ترین هدف های Keylogger ها همین افرادند که قصد دارند از همه فعالیت شریک زندگی یا تجاری خود مطلع شوند.

چرا Keylogger یک تهدید بزرگ است؟

چرا Keylogger یک تهدید بزرگ است؟
چرا Keylogger یک تهدید بزرگ است؟

بر خلاف سایر برنامه های مخرب، Keylogger به تنهایی هیچ مشکلی برای رایانه شما به وجود نمی آورد! مشکل آنها این است که می توانند اطلاعات وارد شده توسط صفحه کلید شامل رمز عبور یا سایر اطلاعات حیاتی را رهگیری کنند. مثلا مجرمان سایبری می توانند شماره حساب، رمز عبور، اطلاعات شماره حساب یا کارت اعتباری شما را برای سیستم های پرداخت آنلاین یا اطلاعات مربوط به بازی های آنلاین، آدرس های ایمیل، نام کاربری و هر داده حساسی را بدزدند.

وقتی یک مجرم سایبری اطلاعات شما را دزدید، به راحتی می تواند با استفاده از نام کاربری و رمز عبور به انتقال پول در سیستم بانکی یا حتی بازی آنلاین شما بپردازد. خودتان بهتر می دانید که حساب های کاربری مربوط به بازی آنلاین، این روزها تقریبا زندگی خیلی از مردم هستند. متاسفانه بیشتر اوقات، این دزدی تنها در حد چند دلار نیست و موارد وحشتناکی را شامل می شود. گاهی جرایم دولتی سنگین و سیاسی می تواند از طریق حساب شما صورت گیرد، پاپوش های وحشتناک برای اشخاص مختلف دوخته شود، اطلاعات تجاری اختصاصی یا داده های دولتی طبقه بندی شده دزدیده شود یا کلید های رمزنگاری خصوصی بسیار حساس به سرقت برده شود.

Keylogger، فیشینگ و مهندسی اجتماعی اخیرا به روش های اصلی فریبکاری های سایبری تبدیل شده اند. کاربران آگاه تر به خوبی از خطرات مربوط به Phishing مطلع هستند و از باز کردن ایمیل های جعلی و وارد کردن اطلاعات در وب سایت های جعلی خود داری می کنند، اما برای کاربران معمولی، بهترین راه بهره گیری از یک راه حل نرم افزاری به روز شده و مطمئن است، غالب وقتها حتی فهماندن این مسئله که یک Keylogger روی سیستم کاربری کم تجربه نصب شده هم بسیار دشوار است.

به زعم Cristine Hoepers مدیر تیم واکنش های اضطراری که تحت نظارت کمیته راهبری اینترنت فعالیت می کند، کی لاگرها بیشتر از وب سایت های جعلی در دزدیدن اطلاعات حساب استفاده می کنند، حتی این روزها روش های کاری Keylogger ها بسیار متنوع تر و پیچیده تر شده اند، مثلا آنها وب سایت هایی که کاربر بیشتر علاقه مند است را رصد می کنند و اطلاعات وارد شده در آنها را ضبط می کنند. در سالهای اخیر شاهد افزایش وحشتناک برنامه های مخرب با رویکرد Keylogger بوده ایم. مهم نیست از چه کشوری هستید و در کدام شهر به اینترنت وصل می شوید، مهم نیست که در کدام شرکت کار می کنید، هیچ کس در برابر خطرات ایمن نیست!

استفاده از Keylogger توسط زوج اسرائیلی

در ماه مه سال ۲۰۰۵، پلیس یک زوج اسرائیلی مظنون به حمل بدافزار که توسط شرکتهایی برای جاسوسی صنعتی مورد استفاده قرار می گرفت را دستگیر کرد. ابعاد این جاسوسی صنعتی و گستردگی آن بسیار مبهوت کننده و دلهره آور بود. شرکت هایی که بعدها نامشان توسط آژانس های اطلاعاتی اسرائیل منتشر شدند شامل Cellcom   و Pelephone و شرکت تامین کننده تلویزیون ماهواره ای  YESبودند. بر طبق گزارش ها، تروجان برای دسترسی به اطلاعات حساب کاربران شرکت Rani Rahav ، کاربران Partner Communications، دومین شرکت بزرگ تامین کننده خدمات تلفن همراه اسرائیل و همچنین HOT، گروه بزرگ تلویزیون کابلی، مورد استفاده قرار گرفت. شرکت Mayer که ماشین های هوندا و و Volvo را به اسرائیل وارد می کرد متهم به جاسوسی صنعتی از Champion Motors شد که ماشین های آئودی و فولکس واگن را وارد می کرد. Ruth Brier-Haephrati فروشنده این تروجان Keylogger که دست پخت شوهرش Michael Haephrati بود، به ۴ سال زندان محکوم شد. Michael Haephrati خود به دو سال زندان محکوم شد!

هکرهای برزیلی

در فوریه ۲۰۰۶، پلیس برزیل ۵۵ نفر را که درگیر گسترش برنامه های بدافزاری Keylogger برای دزدی نام کاربری و رمز عبور مربوط به سیستم های بانکی بودند را دستگیر کرد. Keyloggerها وقتی کاربران از وب سایت بانک بازدید می کردند فعال می شدند و به صورت مخفیانه و مکرر، همه داده های وارد شده را به سرور خرابکاران می فرستادند. کل پولی که از ۲۰۰ کاربر در شش کشور دزدیده شد در حدود ۴.۷ میلیون دلار بود.

یک برنامه مخرب، یک Keylogger

تقریبا در همان زمان، یک گروه از جوانان خدانشناس روسی و اوکراینی، دستگیر شدند. این گروه از اواخر سال ۲۰۰۴، اقدام به ارسال یک ایمیل با عنوان (یک برنامه مخرب، یک Keylogger) به کاربرانی در فرانسه و چند کشور دیگر کردند. خوب البته تا اینجا جوانان صادقی بودند. کاربرانی که توسط روش های مهندسی اجتماعی اغوا شده بودند، برای سوءاستفاده از این بدافزار اغوا شدند و با نصب آن خود در دام افتادند. در حقیقت قربانیان، خود قصد سوء استفاده داشتند، اما در عوض هنگام فعالیت های بانکی در ماه های بعد، هدف دزدی اطلاعات حسابشان قرار گرفتند. این اطلاعات به سرور مجرمان سایبری فرستاده شد و بیش از یک میلیون دلار دزدی از حسابهایشان صورت گرفت.

موارد جدیدتری نیز در این مورد وجود دارد که بیشتر آنها حول دزدی اطلاعات بانکی و مسائل مالی صورت گرفته است. به دلیل ساختار Keylogger، این بدافزار محبوب ترین و جامع ترین ابزار برای دزدی های اینترنتی به شمار می رود.

مجرمان سایبری چطور از Keylogger استفاده کردند؟

موارد بی شماری وجود دارد که خسارات مالی بسیار توسط Keylogger به کاربران وارد شده است. وقتی تصمیم گرفتیم که فهرستی از این خرابکاریها منتشر کنیم دیدیم که باید اقدام به تألیف یک کتاب قطور کنیم. این شد که تصمیم گرفتیم فعلا به ذکر موارد زیر اکتفا کنیم. هرچند اگر می خواستیم حق مطلب را ادا کنیم، باید آن کتاب ترسناک را منتشر می کردیم.

Haxdoor

یکی از پردامنه ترین و معروف ترین حوادث keylogging مربوط به سرقت بیش از یک میلیون حساب کاربری در بانک اسکاندیناویایی Nordea بود. در آگوست سال ۲۰۰۶، مشتریان بانک ایمیلی دریافت کردند که به آنها پیشنهاد نصب یک برنامه ضدهرزنامه می داد. فایل ضمیمه این ایمیل، یک تروجان شناخته شده به نام Haxdoor بود که بعد از بارگذاری ضمیمه، کامپیوتر را آلوده می کرد. این تروجان، هنگامی که قربانی اقدام به ثبت اطلاعات روی سرویس آنلاین Nordea می کرد فعال می شد. تروجان باعث می شد که یک فرم خطا نمایش داده شود و در نهایت ادب از کاربر می خواست یک بار دیگر زحمت بکشد و اطلاعات را وارد کند. اطلاعاتی که وارد می شد به سرور مجرمان سایبری فرستاده می شد. سپس مجرمان سایبری اقدام به انتقال پول قربانیان به حساب های خود می کردند. مطابق صحبت های نویسنده کد تروجان Haxdoor، این حربه در بانک های استرالیایی و چند بانک دیگر نیز مورد استفاده قرار گرفت.

Mydoom

در ژانویه ۲۰۰۴، کرم بدنام Mydoom باعث اپیدمی وحشتناکی شد که رکوردهای کرم وحشتناک دیگر به نام Sobig را شکست. این کرم از طریق روش های مهندسی اجتماعی وحملات منع سرویس DOS باعث از کار افتادن سایت www.sco.com برای چندین ماه شد. کرم یک تروجان را روی سیستم ها قرار می داد و کاربران، به طور مداوم با حمله نسخه به روز شده کرم دست به گریبان بود. حقیقت این بود که MyDoom دارای کارکرد Keylogger بود و اطلاعات بانکی را می دزدید، مسئله ای که رسانه ها چندان آن را عمومی نکردند!

Kelogger ادارات Sumitomo Mitsui شعبه لندن

در اوایل سال ۲۰۰۵ پلیس لندن از یک حمله دزدی بانکی جلوگیری کرد. بعد از حمله به سیستم بانک، مجرمان سایبری قصد داشتند ادارات شعبه لندن Sumitomo Mitsui را مورد حمله قرار دهند. هسته اصلی تروجان، توسط یک مجرم سایبری ۳۲ ساله به اسم Yeron Bolondi توسعه یافته بود. این Keylogger به مجرمان اجازه می داد که کلیه اطلاعات وارد شده توسط صفحه کلید در وب سایت بانک را ضبط کرده و مورد سوء استفاده قرار دهد.

برای ایمن شدن، همین حالا اقدام کن...

هدف نهایی بیش از ۷۰ درصد خرابکاری های بدافزارها دزدی اطلاعات بانکی است!!!

برچسب ها

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

18 − = 15