کیلاگر: برنامهای مخفی که هر ضربه کلید شما را میدزدد
۱. کیلاگر چیست و چگونه وارد رایانه میشود؟
کیلاگر1 برگرفته از دو بخش «کی» (به معنی کلید) و «لاگر» (به معنی ثبتکننده) است. این برنامه مخفی مانند یک شنودکننده دائمی روی صفحه کلید عمل میکند. هر بار که کاربر کلیدی را میزند، کیلاگر آن را ضبط کرده و معمولاً در یک پرونده ذخیره میکند. سپس این اطلاعات از طریق اینترنت برای هکر ارسال میشود.
روشهای نفوذ کیلاگر:
- ایمیلهای آلوده - باز کردن پیوست یا لینک فریبنده.
- نرمافزارهای کرک شده - نصب برنامههای غیررسمی حاوی کیلاگر.
- دسترسی فیزیکی - فردی با اتصال سختافزاری به رایانه شما.
| نوع کیلاگر | نحوه کار | سختی تشخیص |
|---|---|---|
| نرمافزاری | در پسزمینه سیستم عامل نصب میشود | متوسط |
| سختافزاری | دستگاه کوچک بین صفحه کلید و رایانه | زیاد |
۲. مکانیزم داخلی: چگونه ضربات کلید ثبت میشوند؟
سیستمعامل رایانه رویداد «فشرده شدن کلید» را از صفحه کلید دریافت میکند. کیلاگر با استفاده از چند روش این رویدادها را رهگیری میکند:
- قلابگذاری روی ورودی صفحه کلید: برنامه خود را میان صفحه کلید و برنامههای دیگر قرار میدهد.
- ثبت بافر صفحه کلید: از حافظه موقت صفحه کلید کپی برمیدارد.
- اسکرینشات هنگام تایپ: هر بار که کاربر چیزی تایپ میکند، از صفحه عکس میگیرد.
۳. فرمول نرخ خطر: ریسک کیلاگر در یک بازه زمانی
فرض کنیم احتمال نفوذ کیلاگر در هر روز p باشد. اگر کاربر n روز از رایانه استفاده کند، احتمال اینکه تاکنون مورد حمله قرار گرفته باشد برابر است با:
$ P(\text{حمله}) = 1 - (1-p)^n $برای نمونه اگر p=0.01 (یک درصد) و n=30 روز باشد:
$ P = 1 - (0.99)^{30} \approx 1 - 0.74 = 0.26 $که یعنی 26% احتمال آلودگی در یک ماه. این اعداد نشان میدهد که مراقبت و بهروزرسانی مداوم اهمیت بالایی دارد.
۴. شناسایی کیلاگر در رایانه شخصی
کیلاگرهای خوب خود را پنهان میکنند، اما نشانههایی وجود دارد که میتوانید آنها را پیدا کنید:
- کند شدن ناگهانی تایپ: تاخیر بین فشردن کلید و نمایش حرف روی صفحه.
- فعالیت غیرعادی هارد دیسک یا پردازنده: حتی در حالت بیکاری رایانه.
- ظاهر شدن برنامههای ناشناخته در لیست راهاندازی ویندوز.
- ارسال دادههای زیاد در شبکه بدون استفاده از مرورگر یا دانلود.
پاسخ: برخی کیلاگرها از روشهای «بدون پرونده» استفاده میکنند، یعنی روی دیسک ذخیره نمیشوند و فقط در حافظه رایانه اجرا میشوند. همچنین کیلاگرهای قانونی (مثل نرمافزارهای کنترل والدین) در لیست سفید آنتیویروس قرار دارند.
پاسخ: تا حدی بله. کیلاگرهای ساده فقط ضربات فیزیکی را ثبت میکنند، اما برخی کیلاگرهای پیشرفته از صفحه کلید مجازی هم عکس میگیرند یا رویدادهای موس را ضبط میکنند. بنابراین صفحه کلید مجازی امنیت کامل ایجاد نمیکند.
پاسخ: کیلاگر اطلاعات را پیش از رمزنگاری (قبل از رسیدن به مرورگر) میدزدد. وقتی شما رمز را تایپ میکنید، مرورگر هنوز آن را رمز نکرده است. کیلاگر در این لحظه متن ساده رمز را ذخیره میکند، بنابراین رمزنگاری ارتباط در این مرحله کمکی نمیکند.
۵. نمونه عینی از حمله موفق کیلاگر
در سال 2021، گروهی از هکرها کیلاگری به نام «قوی زرافه» را از طریق یک برنامه شبیهساز بازی در بین کاربران پخش کردند. کاربران نرمافزار را نصب کردند و هر روز رمزهای ایمیل و شبکههای اجتماعی خود را تایپ میکردند. کیلاگر طی 45 روز بیش از 12000 رمز عبور دزدید. هکرها سپس وارد حسابهای بانکی قربانیان شدند. این اتفاق نشان میدهد که کیلاگر حتی در برنامههای به ظاهر بیضرر نیز میتواند پنهان شود.
۶. راهکارهای دفاعی عملی در برابر کیلاگر
- استفاده از مدیریت رمزهای عبور: این نرمافزارها رمزها را مستقیماً در فیلدها قرار میدهند (بدون تایپ دستی) و کیلاگر چیزی ثبت نمیکند.
- فعال کردن احراز هویت دو مرحلهای: حتی اگر رمز دزدیده شود، هکر به کد دوم دسترسی ندارد.
- بهروزرسانی آنتیویروس و اجرای اسکن منظم: بسیاری از کیلاگرهای نرمافزاری قابل شناسایی هستند.
- بررسی فیزیکی پورتها و صفحه کلید: به دنبال قطعات اضافی کوچک بین کابل و کامپیوتر باشید.
- استفاده از صفحه کلیدهای رمزنگار: برخی صفحه کلیدهای حرفهای قبل از ارسال داده به رایانه، آن را رمز میکنند.
پاورقیها
1 کیلاگر (Keylogger) - برنامه یا سختافزاری که به صورت مخفیانه هر کلید فشرده شده روی صفحه کلید را ثبت میکند. معادل فارسی: «ثبتکننده ضربات کلید».
2 بافر (Buffer) - ناحیه موقتی در حافظه رایانه که دادهها پیش از پردازش در آن ذخیره میشوند.
3 احراز هویت دو مرحلهای (Two-Factor Authentication - 2FA) - روشی که پس از وارد کردن رمز عبور، کد یکبارمصرف ارسال شده به تلفن یا ایمیل را نیز درخواست میکند.