Keylogger to jedno z najpodstępniejszych zagrożeń w cyberprzestrzeni – potrafi przechwytywać wszelkie dane wpisywane z klawiatury bez wiedzy użytkownika, jako ukryty program lub fizyczne urządzenie podpięte do portu klawiatury.
- Definicja i istota keyloggera
- Mechanizm działania keyloggerów
- Rodzaje keyloggerów – klasyfikacja i charakterystyka
- Objawy infekcji keyloggerem
- Metody detekcji keyloggera
- Strategie usuwania keyloggera
- Zaawansowane zabezpieczenia i ochrona przed keyloggerem
- Specjalne zagadnienia – keyloggery na urządzeniach mobilnych
W tym opracowaniu wyjaśniamy, czym jest keylogger, jak działa, jakie ma odmiany oraz jak go wykryć i skutecznie usunąć.
Definicja i istota keyloggera
Keylogger (od ang. „key” – klawisz, „logger” – rejestrator) to rodzaj spyware, który rejestruje naciśnięcia klawiszy na zainfekowanym urządzeniu. Może być wykorzystywany nielegalnie przez cyberprzestępców, ale też legalnie w określonych kontekstach (np. przez pracodawcę – za zgodą i wiedzą pracownika, lub przez opiekunów dzieci).
Głównym celem cyberprzestępców jest pozyskiwanie poufnych informacji bez wiedzy użytkownika. Rejestrowane naciśnięcia klawiszy są następnie przesyłane do atakującego i mogą posłużyć do kradzieży tożsamości oraz oszustw finansowych.
Najczęściej kradzione informacje to:
- hasła do bankowości i innych serwisów,
- loginy i dane logowania do mediów społecznościowych,
- numery kart płatniczych i kody CVV,
- dane osobowe potrzebne do przejęcia kont i weryfikacji tożsamości.
Mechanizm działania keyloggerów
Działanie polega na przejęciu obsługi klawiatury w systemie i monitorowaniu każdego naciśnięcia klawisza. Zapisane dane mogą być przechowywane lokalnie lub przesyłane przez internet do operatora keyloggera.
Zaawansowane warianty wykraczają poza samą klawiaturę. Przykładowe możliwości obejmują:
- rejestrowanie zawartości schowka,
- wykonywanie zrzutów ekranu w odstępach czasowych lub kontekstowo,
- monitorowanie ruchów myszy i kliknięć,
- przechwytywanie wiadomości e‑mail i danych formularzy,
- śledzenie historii przeglądania stron,
- nagrywanie dźwięku z mikrofonu,
- zapisywanie informacji o aktywnych oknach i uruchomionych aplikacjach.
Dane mogą być wysyłane różnymi kanałami:
- poczta e‑mail (automatyczne raporty),
- serwer FTP lub panel www,
- połączenie w czasie rzeczywistym z serwerem atakującego,
- transmisje cykliczne w zadanych przedziałach czasu w celu ograniczenia ryzyka wykrycia.
Rodzaje keyloggerów – klasyfikacja i charakterystyka
Ze względu na metodę działania wyróżniamy dwie główne kategorie: keyloggery sprzętowe i keyloggery programowe. Najważniejsze różnice przedstawia poniższe zestawienie:
| Cecha | Keylogger sprzętowy | Keylogger programowy |
|---|---|---|
| Instalacja | fizyczny moduł między klawiaturą a portem komputera | kod uruchamiany w systemie (aplikacja, sterownik, komponent jądra) |
| Wymagania | dostęp fizyczny do sprzętu | dostęp logiczny (np. infekcja z pliku, linku, strony) |
| Wykrywalność | bardzo trudna dla antywirusa | zależna od poziomu (aplikacja vs. kernel, „fileless”) |
| Transmisja danych | odczyt lokalny lub bezprzewodowo (wybrane modele) | internet: e‑mail/FTP/serwer C2/raporty cykliczne |
| Ryzyko dla laptopów | niskie (utrudniony montaż) | wysokie (łatwa dystrybucja) |
Keyloggery sprzętowe
To fizyczne urządzenia umieszczane między klawiaturą a komputerem lub wbudowane w klawiaturę. Z perspektywy systemu komputer „widzi” wyłącznie klawiaturę, co czyni je niewidocznymi dla typowego oprogramowania ochronnego.
Wewnątrz znajduje się mikrokontroler i pamięć nieulotna (np. flash), często o dużej pojemności. Niektóre modele mają łączność WLAN lub komórkową do zdalnego przesyłania danych.
Badania MIT wskazują na ok. 95% skuteczności przechwytywania danych przez warianty sprzętowe (ok. 78% dla programowych), a eksperci SANS zwracają uwagę, że takie urządzenia mogą przechwytywać dane jeszcze przed ich szyfrowaniem.
Typowe ograniczenia keyloggerów sprzętowych to:
- konieczność krótkotrwałego, ale realnego dostępu fizycznego do sprzętu,
- ograniczona przydatność w laptopach z kompaktową konstrukcją,
- konieczność ponownego dostępu do urządzenia w celu odczytu danych (chyba że jest transmisja bezprzewodowa).
Keyloggery programowe
To oprogramowanie działające w tle – od prostych aplikacji po komponenty działające w jądrze systemu (często w parze z rootkitami w celu ukrywania). Im bliżej jądra, tym trudniejsza detekcja i usunięcie.
Najczęstsze wektory instalacji obejmują:
- zainfekowane pliki pobrane z internetu,
- złośliwe linki i załączniki e‑mail,
- fałszywe aktualizacje i instalatory,
- zainfekowane strony www i malvertising,
- pakiety pobrane z nieznanych źródeł.
Zaawansowane odmiany stosują techniki fileless malware (działają w pamięci RAM), co tradycyjnym skanerom utrudnia wykrycie. Badania Kaspersky Lab odnotowały wykrywalność na poziomie ok. 23%.
Objawy infekcji keyloggerem
Poniższe symptomy mogą sygnalizować obecność keyloggera:
- zauważalne spowolnienie systemu – większe zużycie CPU/RAM, wolniejsze uruchamianie aplikacji;
- nieznane procesy/usługi – podejrzane wpisy w Menedżerze zadań, czasem stylizowane na systemowe;
- problemy z klawiaturą – opóźnienia, gubienie znaków, „duchy” wpisów;
- wzmożony ruch sieciowy – nietypowe transmisje danych, zwłaszcza w spoczynku;
- nieoczekiwane logowania – alerty z serwisów o logowaniu z nieznanych lokalizacji/urządzeń;
- nieznane pliki graficzne – możliwe zrzuty ekranu w folderach tymczasowych;
- dziwne zachowanie przeglądarki – rozszerzenia lub ustawienia, których użytkownik nie instalował.
Metody detekcji keyloggera
Wykrycie jest trudne, ale połączenie kilku metod znacząco zwiększa szanse na identyfikację zagrożenia.
Korzystanie z wiersza poleceń i narzędzia netstat
Poniższa procedura pomaga odnaleźć nietypowe połączenia sieciowe w systemie Windows:
- Otwórz menu Start i wpisz
cmd, następnie naciśnij Enter. - W oknie wpisz polecenie:
netstat -anoi zatwierdź Enterem. - Przeanalizuj listę aktywnych połączeń – zwróć uwagę na wpisy w stanie „Listening” i ich adresy IP.
- Jeśli widzisz „Nasłuchiwanie” na obcy adres IP (nie
0.0.0.0lub127.0.0.1), zanotuj PID danego połączenia. - Otwórz Menedżera zadań (Ctrl+Shift+Esc) i porównaj PID z procesami/usługami; podejrzany proces zakończ.
Zamknięcie procesu odcina łączność, ale nie usuwa zagrożenia – konieczne jest dalsze działanie.
Korzystanie z menedżera zadań
W systemie Windows wykonaj następujące kroki:
- Kliknij prawym przyciskiem na pasku zadań i wybierz „Menedżer zadań”, potem „Więcej szczegółów”.
- W zakładce „Procesy” poszukaj nieznanych aplikacji – kliknij prawym przyciskiem i wybierz „Zakończ zadanie”.
- W zakładce „Uruchamianie” wyłącz podejrzane pozycje ustawione jako „Włączone”.
Przejrzenie zainstalowanych programów
Windows: otwórz „Panel sterowania” > „Programy” > „Programy i funkcje” i usuń nieznane aplikacje („Odinstaluj”).
macOS: w Finderze przejdź do folderu Aplikacje i przenieś podejrzane programy do Kosza.
Korzystanie z oprogramowania antywirusowego
Aktualny antywirus (z heurystyką i ochroną behawioralną) znacząco zwiększa szanse wykrycia. Testy AV‑Comparatives pokazują, że specjalistyczne narzędzia anty‑keyloggerowe na poziomie kernela mogą osiągać ok. 91% skuteczności.
Wybrane rozwiązania komercyjne i ich atuty:
- Norton 360 – wykorzystuje AI i uczenie maszynowe do blokowania zaawansowanych zagrożeń;
- Bitdefender Total Security – bardzo wysoka wykrywalność w pełnym skanowaniu systemu;
- McAfee Total Protection – wielowarstwowa ochrona przed różnymi kategoriami zagrożeń.
Zaawansowane narzędzia diagnostyczne
Przy podejrzeniu rootkitów warto użyć narzędzi takich jak GMER czy OTL, pamiętając, że wymagają one wiedzy technicznej i ostrożności.
Strategie usuwania keyloggera
Działania naprawcze zależą od typu keyloggera i poziomu infekcji.
Usuwanie keyloggera sprzętowego
Jeśli podejrzewasz fizyczne urządzenie rejestrujące, wykonaj następujące kroki:
- Wyłącz komputer i odłącz zasilanie.
- Sprawdź przewody klawiatury oraz (w PC) połączenia monitor–karta graficzna; usuń podejrzane „przejściówki”.
- Zabezpiecz znaleziony moduł jako dowód (np. dla służb/IT).
W laptopach montaż sprzętowego keyloggera jest zwykle utrudniony, a kontrola kabli w komputerach stacjonarnych bywa wystarczającym zabezpieczeniem.
Usuwanie keyloggera programowego
Skuteczne czyszczenie zwykle obejmuje kilka kroków:
- Odłącz komputer od internetu (tymczasowo) i uruchom pełne skanowanie antywirusem/antyspyware.
- Uruchom system w trybie awaryjnym i ponów skanowanie, usuń/quarantanna wykryte elementy.
- Sprawdź elementy autostartu, zaplanowane zadania, przeglądarki (rozszerzenia/ustawienia).
- Jeśli infekcja jest zaawansowana (np. komponent w jądrze, „fileless”), rozważ format i czystą reinstalację systemu.
- Po czyszczeniu natychmiast zmień hasła na niezainfekowanym urządzeniu.
Zaawansowane zabezpieczenia i ochrona przed keyloggerem
Uwierzytelnianie dwuskładnikowe (2FA)
Włącz 2FA wszędzie, gdzie to możliwe – nawet przy wycieku hasła atakujący potrzebuje drugiego czynnika (kod SMS, aplikacja TOTP, klucz sprzętowy). Tokeny sprzętowe są generalnie najbezpieczniejsze.
Najpopularniejsze metody drugiego czynnika to:
- kody SMS (wygodne, lecz mniej odporne na przejęcie),
- kody z aplikacji TOTP (np. Authy, Google Authenticator),
- sprzętowe klucze U2F/FIDO2 (najwyższy poziom ochrony).
Menedżery haseł
Menedżer haseł ogranicza konieczność pisania na klawiaturze, automatycznie wypełniając pola logowania i przechowując dane w formie zaszyfrowanej.
Praktyczne korzyści to:
- automatyczne, bezpieczne uzupełnianie danych logowania,
- generator silnych i unikalnych haseł,
- szyfrowanie wrażliwych danych po stronie użytkownika.
Klawiatura ekranowa
Klawiatura ekranowa (virtual keyboard) może pomóc przy operacjach finansowych, bo ogranicza wpisy z fizycznej klawiatury. Pamiętaj jednak, że keylogger ze zrzutami ekranu lub śledzeniem myszy może obejść tę metodę.
Aktualizacja oprogramowania i silne hasła
Regularnie aktualizuj system i wszystkie aplikacje – łatki bezpieczeństwa zamykają luki wykorzystywane przez malware.
Twórz silne, unikalne hasła zgodne z poniższymi zasadami:
- co najmniej 12–15 znaków,
- mieszanka małych i dużych liter,
- cyfry,
- znaki specjalne i brak recyklingu haseł między serwisami.
Blokowanie ekranu i kontrola dostępu fizycznego
Blokuj ekran, odchodząc od komputera (Windows+L) – utrudnia to montaż sprzętowych urządzeń szpiegujących.
Ogranicz dostęp fizyczny do stacji roboczych – autoryzowani użytkownicy tylko według zasady minimalnych uprawnień.
Specjalne zagadnienia – keyloggery na urządzeniach mobilnych
Keyloggery programowe mogą infekować również Androida i iOS. Do instalacji często dochodzi przez nieostrożne kliknięcia.
Typowe wektory infekcji na smartfonach to:
- linki w e‑mailach i wiadomościach SMS,
- powiadomienia o „przesyłce do odbioru” lub rzekomych zaległościach,
- instalacje aplikacji z nieoficjalnych źródeł.
Po instalacji zagrożenie może przechwytywać m.in.:
- naciśnięcia wirtualnych przycisków i treści z ekranów,
- zrzuty ekranu i wiadomości,
- dostęp do kamery i mikrofonu,
- ruch sieciowy aplikacji,
- dostęp do drukarek lub blokowanie wybranych stron.
Aby zminimalizować ryzyko na urządzeniach mobilnych, stosuj podstawowe praktyki:
- zainstaluj aktualny antywirus dla Androida/iOS i włącz ochronę w czasie rzeczywistym,
- pobieraj aplikacje wyłącznie z oficjalnych sklepów (Google Play, App Store),
- weryfikuj uprawnienia aplikacji i reaguj na nietypowe zachowania urządzenia.