|
[核心导读]
最近,一个有点冷僻的名词“键盘记录器”成了网络热门搜索词,有网友称它可以藏匿在键盘接口处,偷偷记录下用户所有的键盘操作,QQ、支付宝、网银等账号密码均可轻松收入囊中。如果不靠肉眼仔细观看,仅靠软件还无法识别其存在。
这种 “神器”存在么?功能果真如此强悍?
日前,记者走访了上海多处网吧和数码商城,暂未找到出售的商户,然而通过网络,记者却成功地购得一台外形与U盘相似的键盘记录器,经过实验发现其功能还真如网友所言。
淘宝网表示,由于涉嫌违法,几年前就已经禁止售卖键盘记录器,欢迎广大网购一族举报。上海警方回复称,尚未接到键盘记录器的相关报案,但为了确保市民的网络安全,给予6条实用提醒,其中包括避免在公共场所上网输入个人隐私信息,不要在网上购买非法物品如“键盘记录器”等。
□晨报记者 查睿
网友图文直播测试过程
“如果你去网吧,看到有多余的USB或是PS/2设备插在你的键盘线上,请不要使用这台电脑。这是键盘记录器,它会记录你所有的键盘操作,QQ、支付宝、银行账号和密码。”本月,这则消息在微博上传播很广,这个仅有U盘大小的小配件引发了不少网民的担忧。
为了辨别该消息的真假,有位“果壳”网友专门买了一个键盘记录器,在网上图文直播测试过程,得出的结论是:键盘记录器不仅存在而且功能强大,虽然记录中有少许误差,但是记录账号、密码、网银等信息完全没有问题;最恐怖的是,不仅电脑自带的硬件管理器没有发现该设备,安装的第三方硬件检测软件也无法识别,仅能通过肉眼找到它。
“触目惊心,信息安全问题防不胜防。”不少网友看完之后表示,只顾着杀毒防木马,完全没有在意电脑主机后面是否藏匿着“陷阱”,“每次用网银支付前都会先杀毒,确保无虞才继续操作,没想到键盘就能把我出卖了。”记者发现,个别网友还跟帖询问购买方式。
记者第一时间联系这位发帖做测试的“果壳”网友,希望能获知键盘记录器的更多信息以及购买渠道,但出于种种顾虑,截至发稿对方始终没有回应。
另据浙江媒体报道,浙江省公安厅曾发出警示,键盘记录器诱发的案例已经在温州出现。
网吧走访未发现实物踪影
为核查键盘记录器是否出现在上海的市场上,并进一步证实其是否真的有效,记者几天来探访了沪上多家网吧和数码商城。
“既然公共电脑是键盘记录器的重灾区,网吧是否有人恶意安装?”带着这些疑问,记者来到了浦东潍坊路附近一家网吧,发现网吧的电脑虽然是公共使用,但主机却是锁在特定的橱柜里,显示器、键盘和鼠标线都是从专门的孔洞中穿出,只留一些孔洞给主机散热。记者用手无法触及到主机后面的接口,更谈不上给键盘线安装设备了。之后走访的5家网吧,情况与此类似。
“我想给电脑插一个自己的东西,你们能开个锁吗?”记者向网吧管理员询问,对方一开始拒绝了:“(锁)不能开,你有什么东西可以插在外接USB接口上。”对方说,每台电脑上都有两个USB接口,客人可以插U盘。在记者的一再坚持下,她打开了一台主机柜,不过,未发现主机后面有可疑设备。交流时,记者问到,要求打开柜子插上自带设备的客人有多少。工作人员回答:“很少,外接的USB足够用了。”临走前,记者给她看了键盘记录器的照片,她表示从没有看到过这种设备。走访的另外5家网吧,有4家以“没有钥匙”为由拒绝了记者开电脑主机柜的要求,另外一家网吧虽配合开柜,但也未发现键盘记录器的踪影。
数码店老板称网上才买到
在关于键盘记录器的讨论中,知名科技博主“月光博客”曾撰文称,通常网吧不会安装键盘记录器,因为有法律上的风险,“即使网吧要窃取用户密码,使用木马软件更方便,成本也更低,没必要用硬件。”
在网吧里没有找到键盘记录器的身影,数码市场里是否有实物出售呢?记者首先来到位于上海火车站的不夜城商厦,询问了数十家商铺,店主都表示没听说过键盘记录器。有位店主建议记者去百脑汇等电脑城看看,记者随即又赶到浦东百脑汇和太平洋电脑城,走访了数十家店铺,其中不乏专门出售键盘甚至是安防设备的店铺,多数店主都表示没听说过。只有其中一家店主似乎“懂门道”,对记者说:“这种东西,你得去网上买才行。”
小网站购得,但不开发票
根据一些网络资料显示,键盘记录器曾在淘宝有售,但记者在淘宝网和阿里巴巴上搜索“键盘记录器”,均未果。几经努力,记者找到一家标明售卖键盘记录器的店铺,售价为275元,但显示无货。几小时后,该商品就下架了,改售迅雷会员账号。记者又在多家电商网站上搜索,均一无所获。
最终,记者在几家小网站上找到了键盘记录器的售卖踪迹。10月25日,通过QQ,记者联系上两位卖家“摄像手表”和“深圳安防厂家”。从出售商品种类来看,“摄像手表”更为齐全,除了键盘记录器,这位卖家还出售摄像手表、纽扣摄像机、口香糖摄像机等设备;而“深圳安防厂家”则主要出售USB和PS/2键盘记录器。
同样是USB接口键盘记录器,两家的报价相差不少,“摄像手表”报价330元,“深圳安防厂家”报价450元,他们都保证,“免驱免软件,支持中英文记录读取,无提示无声响”。记者要求开发票,二人均表示不开发票,只开收据。“付款能走支付宝吗?”面对记者的提问,两家店都表示可以,并发来了淘宝链接。
标注兼容所有品牌键盘
打开链接发现,“摄像手表”发来的是价值1800元的无线影音传输器,他解释说:“你在这里拍,拍了我再修改价格,淘宝是不能直接上传微型摄像产品的。”而“深圳安防厂家”发来的链接是“新款高精密USB电子仪器”,从图片中可以看出是键盘记录器,但是商品名称里完全没有相关文字。面对记者“键盘记录器真的有效吗”的提问,“摄像手表”表示,“二年前就出来的产品了,已经卖得很多了”。
10月26日,记者拟下单购买“摄像手表”的USB接口键盘记录器,当晚记者接到一个显示来自深圳的电话,原来是卖家打来的,他告诉记者,该店的键盘记录器只对杂牌键盘有效,对品牌键盘无效。由于“深圳安防厂家”声称其产品能兼容所有品牌键盘,记者最终以450元价格,从后者购买了一台USB键盘记录器。
[晨报实验]
插入不显示外接设备
10月27日晚,记者收到快递送来的键盘记录器,记者打开包裹,发现里外有三层包装,剪开最外面的防震塑料膜,里面是路由器大小的包装盒,注明产品与无线电发射有关;打开这个包装盒,里面还有一个手机大小的盒子,盒子印着“keylogger”。打开盒子才看清键盘记录器的“真身”,原来是一个U盘大小的黑色USB转接头,附有产品使用说明书,说明书用中文繁体和英文两种文字书写,详细介绍了键盘记录器的用途和使用方法。
记者将键盘记录器连接到一台品牌机USB接口键盘的USB端口,再将记录器的另一端插入电脑,期间电脑没有出现任何安装新硬件的提示和声响。记者随后打开电脑的设备管理器,也没有发现多余的外接设备,只显示接入了USB接口键盘。
可记录100多万字
按照产品说明书的教程,记者打开了记事本(notepad),键入初始密码,按回车键,记事本里自动显示出键盘记录器的菜单,其中有7个选项,分别是读取所有内容、读取部分内容、删除记录、修改密码、网址搜索、产品介绍和退出。记者关闭记事本,首先打开QQ,在登录框键入用户名和密码;然后又打开淘宝网页,键入账号以及密码;最后再打开某银行的网上银行,键入银行账号和密码。
做完这三项后,记者重新打开记事本,键入密码后再选择读取所有内容,很快记者刚才在QQ、淘宝和网银上输入的所有账号和密码都完全展示在记事本上,甚至包括回车键等其他键盘操作。记者发现,所有操作都没有引起电脑安全软件的警告。
记者购买的键盘记录器内存为2M,一般来说,一个英文字母占一个字节(B)的空间,一个中文汉字占两个字节的空间,按照换算,2M等于2048KB,也等于2097152B,相当于一个键盘记录器可一次性存储200多万个英文字母,或者一本100多万字的中文书籍。
说明书称不能检测他人
记者还仔细观察了键盘记录器的外包装和说明书,称该设备由中国台湾制造。不过据卖家介绍,键盘记录器是台湾地区的设计方案,但是在中国大陆地区生产。
说明书介绍,该设备适合家长了解孩子使用电脑情况,雇主监控员工使用电脑,软件工程师应对系统故障,安全人员和管理员修复系统以及办公人员恢复重要文档。不过说明书中明确提到:“未经他人允许,不得利用本装置检测他人或用作其他非法行为”。
[业内解密]
怎么截获敲键记录?
记录器对连线做手脚
“当我们的手指在键盘上连续按下多个字符时,一系列的字符流就会以电讯号的形式,通过键盘和电脑之间的那根连线发往电脑的接口,所以有三种方式截获用户的敲键记录:第一种是对键盘做手脚,比如这个键盘会自动以无线电波的形式,将键盘的电讯号记录发往另一个服务器;第二种是对电脑做手脚,给电脑安装一个软件,这个软件可以把电脑接口接收到的键盘信号记录下来,然后通过网络发送到服务器;第三种是对连线做手脚,键盘和电脑之间的那根线没有被加密,只就是一连串‘裸体’字符流,敲下的是什么字符,发出去的就是什么字符,当前如果被截获了,那截获到的也就是这个字符,而且键盘和电脑完全不知道它们之间的线路被窃听了。 ”
昨天,“果壳”网编辑钱文品向记者介绍了键盘记录器的工作原理,称它采用的就是第三种方式,对连线做了手脚,记录器对连线上的字符流进行记录字符流、探测字符序列、增加字符和删除字符等操作,以此对用户键盘进行控制。
怎么存储键盘记录?
内部有芯片持久存储
钱文品介绍,记录器内部有一个存储芯片,会对用户的键盘记录进行持久存储,即便电脑重启后记录也不会消失,哪怕是网吧里的无盘电脑。不法分子只要拔下记录器,插到自己的电脑里,就可以显示出之前在这台电脑上的所有键盘操作。
为什么插入不被识别?
电脑只认连线上的字符
至于为什么键盘记录器无法被电脑识别,钱文品解释称,电脑只认连线上的字符序列,只要你不键入特殊的密码菜单序列,插入记录器前后,连线上的电讯号是没有任何变化的。
至于插入键盘记录器后,为什么只需在记事本里键入密码就能自动显示菜单,其原因也不复杂。“记录器会探测字符序列,当探测到用户键入的是说明书上的密码序列时,就会在字符流中增加一段字符,这段字符就是菜单的内容。不过电脑并不知道这段字符流已经被篡改了,它以为用户键入的就是这些菜单内容。”
还有什么功能?
理论上可以改变信息
“原理上看,记录器除了可以记录信息之外,还可以改变信息。”钱文品表示,理论上而言,键盘记录器除了窃取用户信息之外还可能有更多的危害,因为它可以通过改变键盘序列,模拟用户一切可能的键盘操作。
钱文品说:“用户能用键盘做到的事情它都可以做到。但是这也仅限于理论上。因为记录器要隐藏它自己,让用户感觉不到它的存在,它就不敢胡来,所以它的一般功能也只局限在记录上。”
[淘宝表态]
键盘记录器已被禁售,发现可举报
淘宝上售卖“键盘记录器”是否合法?昨天,淘宝网回应称,“键盘记录器”由于涉嫌违法几年前就已禁售了。
“仿真枪、军警用品、危险武器类;易燃易爆、有毒化学物、毒品类;反动等破坏性信息类等十类商品都在淘宝违禁物品名单内,其中包含了人身安全、隐私类以及涉及盗取等非法所得及非法用途软件、工具或设备类商品。”淘宝网表示,会用人工和机器检查的方式每天排查违禁品,同时也欢迎广大淘友举报,“在任何商品边上都有一个‘举报此商品’按钮,发现商品有问题,可以立即举报,或者拨打客服电话举报。”
据介绍,淘宝会将违禁商品直接下架,然后根据情节轻重处理,做出警告、限权、关闭店铺、查封账号等处罚。
[警方重申]
市民切勿参与网络非法交易
今年,上海公安机关开展了“打盗抢、防诈骗、严管理、保平安”专项行动,至今已累计破获了相关网络诈骗案件142起,其中盗用QQ的犯罪多数发生在冒充QQ好友实施诈骗的犯罪案件中。
而网络诈骗类案件中经常会发生被害人银行卡被盗用的现象,主要表现为:不法分子设立假冒银行网站,当用户输入错误网址后,就会被引入这个假冒网站。一旦用户输入账号、密码,这些信息就有可能被犯罪分子窃取,账户里的存款可能被冒领。此外,犯罪分子通过发送含木马病毒邮件等方式,把病毒程序置入计算机内,一旦客户用这种“中毒”的计算机登录网上银行,其账号和密码也可能被不法分子所窃取,造成资金损失。
针对类似于键盘记录器等层出不穷的网络陷阱,上海市公安局网络安全保卫总队给市民支了6招:
●不要轻信陌生人的话,尤其是对想获得个人隐私、网银账号密码等的人,要提高警惕。
●尽量避免在公共场所上网地点(如宾馆、网吧等)输入自己个人隐私信息(如网银账号、密码,家庭成员信息等)。
●要注意甄别克隆网站、“钓鱼网站”。假网站做的再逼真,与官网的域名也是有差别的,一旦发现域名多了“后缀”或篡改了“字母”,就一定要提高警惕。特别是那些要求提供银行卡号与密码的网站更不能大意,一定要仔细分辨,严加防范。
●不要在网上购买非法物品。在网上叫卖这些所谓的“商品”,几乎全是骗局,千万不要抱着侥幸的心理,更不能参与违法交易。
●遇到有人在网上声称是亲朋好友向你借钱,不要头脑发热,要多问几个为什么,多打几个电话,真正搞清楚对方是谁。
●注意保留相关证据,一旦受骗要及时报案,避免更多的人受骗。
来源:解放网
|
0755-83689828,83996262