近日,一条微博被网友广泛转发,其标题是“特别注意!如果看到电脑上有如下插头,千万别用!”微博中说,“如果你去网吧或公共场所上网,看到有插头连接到键盘线上面,请不要使用这台电脑。这个东西可以记录你所有上网的键盘操作,如QQ、支付宝,还有网上银行账号密码!”360安全专家石晓虹博士提醒,现阶段国内外所有安全软件都无法防范此类攻击,用户在使用公共电脑时,需要检查机器是否连接着可疑设备。
记者调查发现,部分微博所言非虚, 真有“键盘记录器”这样的产品正在一些电子商务平台公开出售。在亚马逊中国网站,某品牌的电脑“键盘记录器”打出了588元的单价。
亚马逊发布的某品牌“键盘记录器”宣传说明称:记录器会记录下使用电脑时输入的任何信息;可以捕捉三个月到一年或者更长时间范围内键盘的动作;无需预先设定,直接在任何电脑上的文本文档输入密码,即可对所需要信息进行提取和恢复;记录的按键操作内容能够被任何文本编辑器在任何电脑上检索出来。
亚马逊提炼出的商品特性说明进一步提到:即插即用,免驱动软件,体积很小,易安装,不易察觉;所输入的内容,无声响、无灯号、计算机开关机亦不影响其记录工作;本产品经过多种防毒软件、扫毒软件测试、木马清除程序,皆无法被发现,硬件装置中也不会有任何显示信息,保证隐匿性极佳。
由于该硬件对用户的威胁发生在本地,安全公司能否发现这样的攻击?石晓虹指出,“键盘记录器”的原理是在键盘和计算机之间设置了一道关卡,它内置了存储芯片,能够记录按键指令,再把按键消息发送给计算机。整个过程中,“键盘记录器”并不需要程序在操作系统上运行,因此现阶段国内外所有安全软件都无法防范此类攻击,需要用户检查电脑是否连接着可疑设备。
出售和使用相关产品,相关法规对此有没有约束?石晓虹透露,此类产品并非黑客入侵攻击,而是需要用户把键盘记录器连接在电脑上,然后才能记录信息。目前没有法规限制此类产品的出售。但如果有人利用键盘记录器在他人不知情的前提下记录输入信息,由此产生盗号、偷窃网银资金等侵害,其行为肯定是违法的。
石晓虹提醒,对于机箱被密封的公共场所电脑(例如某些网吧),使用者很难查看到电脑是否连接了“键盘记录器”之类的外设,这种情况应注意防范,不要在这样的电脑上登录使用网银及其他重要账号和密码;如果需要在陌生计算机上输入重要信息,最好使用软键盘输入。
.jpg)
登录/注册后可查看大图
.jpg)
