Cách phát hiện và ngăn chặn các chương trình Keylogger
DẤU HIỆU CỦA KEYLOGGER
Keylogger có thể xem là một loại phần mềm gián điệp, được cài đặt bí mật trên thiết bị mà người dùng không hay biết. Chúng ghi lại mọi thao tác gõ phím mà người dùng thực hiện và gửi dữ liệu này cho kẻ tấn công hoặc bên thứ ba. Có khá nhiều cách mà Keylogger có thể xâm nhập vào thiết bị của người dùng, bao gồm cả tấn công lừa đảo hoặc kỹ nghệ xã hội. Các dấu hiệu cảnh báo cho thấy hệ thống có khả năng bị tấn công Keylogger thường thể hiện rõ nhất ở các điểm sau:
- Máy tính chạy chậm hoặc không ổn định một cách bất thường, điều này cũng có thể kéo theo hiệu suất thiết bị giảm và CPU tăng cao, đây thường là dấu hiệu của phần mềm độc hại đang chạy ẩn.
- Nhận thấy bất kỳ phần mềm hay ứng dụng lạ nào được cài đặt mà thực tế người dùng không tải xuống và thực thi nó.
- Chuyển động con trỏ chuột và bàn phím bị chậm, thậm chí là mất biểu tượng. Đôi khi bàn phím gõ sai ký tự và không hoạt động bình thường.
- Các cửa sổ bật lên đáng ngờ trên màn hình mà người dùng không nhận ra.
- Các tài khoản trực tuyến như mạng xã hội, thẻ tín dụng, ngân hàng,... bị truy cập trái phép. Đây có thể là dấu hiệu của Keylogger hoặc một sự xâm phạm khác.
- Trình duyệt bị chậm, Keylogger có thể theo dõi ngay cả khi người dùng đang sử dụng một trong những trình duyệt tốt nhất về quyền riêng tư.
PHÁT HIỆN VÀ NGĂN CHẶN KEYLOGGER
Tìm kiếm Keylogger thông qua các chương trình đã cài đặt
Một số trường hợp Keylogger có thể được tìm thấy trong danh sách các chương trình, ứng dụng của Control Panel, nếu chúng không được ẩn. Để kiểm tra, người dùng thực hiện các thao tác sau: Vào Start > Control Panel > Uninstall a program. Trong trường hợp phát hiện ứng dụng nào không được cài đặt mà xuất hiện trong danh sách này, đó có thể là Keylogger hoặc mã độc được cài đặt trên hệ thống, chọn Uninstall để gỡ cài đặt.
Kiểm tra các tác vụ bằng Task Manager
Nếu một chương trình Keylogger đã biết không xuất hiện trong danh sách ứng dụng trên máy tính, điều đó đồng nghĩa chương trình đó có thể bị ẩn. Keylogger có chức năng rootkit hoạt động theo cách này. Trong những trường hợp như vậy, Task Manager có thể hữu ích trong việc xác định các ứng dụng và tiến trình nền nào đang chạy (trên máy Mac, công cụ này được gọi là Activity Monitor), từ đó hỗ trợ trong việc tìm kiếm và xóa Keylogger. Để thực hiện điều này, nhấn tổ hợp phím “Ctrl + Alt + Del” và mở Task Manager, sau đó xem danh sách các ứng dụng và tiến trình đang hoạt động. Nếu phát hiện tên thư mục lạ, không xác định thì cần tra cứu thông tin tệp trên mạng Internet để kiểm tra đó có phải là chương trình Keylogger không. Đối với các tiến trình độc hại, nhấp chuột phải vào tiến trình đó và chọn End Task.
Hình 1. Chấm dứt tiến trình đáng ngờ thông qua Task Manager
Giám sát kết nối mạng bất thường
Nếu tồn tại Keylogger hoặc mã độc, có thể sẽ có những kết nối Internet đáng ngờ. Vì Keylogger thu thập và gửi các lần theo dõi cho nhà phát triển của nó nên sẽ tạo ra các kết nối đến hoặc đi. Để kiểm tra việc này, mở dòng lệnh cmd ở chế độ Administrator và nhập như sau: netstat -a, đây là lệnh dùng để giám sát các kết nối mạng đang hoạt động, xác định các cổng mở, dịch vụ đang chạy trên hệ thống. Với tham số -a để hiển thị tất cả kết nối và cổng đang mở.
Hình 2. Kiểm tra các kết nối Internet
Xóa các tệp tin tạm thời
Việc tin tặc cài đặt mã độc vào thư mục tệp tạm thời là điều có thể xảy ra. Keylogger cũng không phải ngoại lệ, vì thực tế Keylogger đôi khi ẩn mình và lưu trữ các tệp độc hại trong thư mục tệp tạm thời để tránh bị phát hiện. Các tệp này thường khá lộn xộn nên không thể phát hiện ra bất kỳ chương trình đáng ngờ nào, do đó để thận trọng, người dùng nên xóa tất cả các tệp này (Lưu ý rằng hành động trên sẽ không ảnh hưởng và làm mất dữ liệu). Để xóa các tệp tạm thời, thực hiện các thao tác sau: Vào Start > Storage settings > Temporary files. Trên cửa sổ tiếp theo, chọn các tệp tạm thời này và Remove files.
Hình 3. Xóa các tệp tin tạm thời
Kiểm tra cài đặt trình duyệt web
Người dùng nên kiểm tra cài đặt trình duyệt web xem có bất kỳ thay đổi đáng ngờ nào không. Keylogger thường can thiệp vào cài đặt trình duyệt để nắm bắt các thao tác gõ phím, vì vậy cần xem xét kỹ tất cả các cài đặt và đảm bảo rằng chúng không bị can thiệp hoặc thay đổi mà người dùng không biết. Nếu phát hiện Keylogger đã thay đổi cài đặt trình duyệt, hãy khôi phục chúng về mặc định. Khi đó các cài đặt hoặc sửa đổi độc hại do Keylogger thực hiện sẽ bị xóa. Sau đây là cách khôi phục cài đặt trình duyệt Google Chrome (các trình duyệt khác thực hiện tương tự): Mở trình duyệt sau đó nhấn vào biểu tượng 3 chấm ở phía góc phải màn hình chọn Cài đặt > Đặt lại chế độ cài đặt > Khôi phục cài đặt về mặc định ban đầu. Sau đó lựa chọn Đặt lại chế độ cài đặt.
Hình 4. Khôi phục cài đặt trình duyệt
Sử dụng công cụ chống phần mềm độc hại
Các chương trình Keylogger rất tinh vi và có thể ngụy trang thành các ứng dụng, phần mềm hợp pháp. Vì vậy, cách hiệu quả nhất để loại bỏ Keylogger là sử dụng công cụ và chương trình chống phần mềm độc hại. Mặc dù Windows Microsoft Defender cung cấp khả năng bảo mật được tích hợp trên máy tính, nhưng người dùng cũng nên cân nhắc mua một chương trình phần mềm chống virus hoặc chống phần mềm gián điệp chuyên dụng để tăng cường bảo mật và phát hiện Keylogger được hiệu quả hơn.
PHÒNG TRÁNH KEYLOGGER
Hơn hết người dùng cần chủ động phòng tránh sự xâm nhập của Keylogger. Dưới đây là một số lưu ý quan trọng:
- Tránh tải xuống ứng dụng từ các nguồn không xác định: Luôn kiểm tra độ tin cậy của trang web tải xuống, các nguồn ứng dụng từ các hãng bảo mật hoặc chính thống luôn có quy trình kiểm tra an toàn và kiểm duyệt kỹ càng.
- Cập nhật thường xuyên hệ điều hành và ứng dụng: Hệ thống và ứng dụng cần được cập nhật định kỳ để vá mọi lỗ hổng được tìm thấy. Nếu không làm điều đó, sự tồn tại một số lỗ hổng hay điểm yếu có thể giúp các tác nhân đe dọa tận dụng khai thác.
- Tránh nhấp vào các liên kết đáng ngờ: Cho dù liên kết được gửi qua email, trang web hay ứng dụng nhắn tin, nên nhớ rằng không nên nhấp vào các liên kết mà chưa biết rõ về nguồn gốc của chúng, bởi những liên kết này có thể chứa mã độc và thực thi bí mật khi người dùng nhấp vào hoặc tải xuống.
- Xóa các ứng dụng không sử dụng: Các ứng dụng cũ lâu ngày không được cập nhật có thể chứa lỗ hổng, tạo điều kiện xâm nhập từ các mối đe dọa độc hại.
- Quét phần mềm độc hại thường xuyên: Nhiều phần mềm diệt virus của nhiều hãng bảo mật hiện nay có tính năng bảo vệ theo thời gian thực, trong đó có khả năng phát hiện các chương trình Keylogger. Người dùng nên lập lịch và thực hiện quét hệ thống thường xuyên để đảm bảo an toàn trước mọi mối đe dọa phần mềm gián điệp tiềm ẩn.
Đạt Đinh