En keylogger är en liten USB-adapter som angripare monterar mellan datorns tangentbord och datorns USB-port. Keyloggern spelar in alla tangentbordstryckningar som görs, så att angriparen sedan kan se allt som har skrivits. På så sätt kan angriparen se alla användarnamn och lösenord som har knappats in på tangentbordet.
Problemet med keyloggers
Eftersom USB-adaptern kopplas fysiskt mellan tangentbordet och datorn är den ”osynlig” för datorn i sig. Det går därför inte att detektera keyloggers med hjälp av exempelvis antivirusprogram. Det går inte heller att förhindra installation av keyloggers, i och med att angriparen inte behöver kunna köra någon mjukvara för att keyloggern ska fungera. Detta är framförallt problematiskt för bibliotek och i andra situationer där det finns publika datorer. Angripare kan i smyg koppla in en keylogger och låta den sitta inkopplad några dagar. Sedan kommer angriparen tillbaka, hämtar keyloggern och läser ut allt som har skrivits.
Det finns till och med keyloggers som kan avläsas på distans. I och med att en keylogger kan få ström av datorns USB-port kan keyloggern innehålla en liten dator som ansluter till bibliotekets trådlösa nätverk. Därigenom laddar keyloggern upp allt som skrivs till en server som drivs av angriparen. Det gör att angriparen kan låta keyloggern sitta inkopplad permanent.
Fängelse för attack med Nem-ID
Förra veckan dömdes nio män till sammanlagt 41 års fängelse efter att ha utfört just denna typ av attack på bibliotek runt om i Danmark. Brottslingarna hade använt keyloggers för att påbörja en attack med Nem-ID, den danska motsvarigheten till Bank-ID. Nem-ID bygger på en kombination av användar-ID, lösenord och ett fysiskt ”nyckelkort” med förtryckta engångskoder som användaren knappar in vid inloggning. När de förtryckta engångskoderna börjar ta slut skickas ett nytt nyckelkort hem till användaren.
Enligt danska Polisen använde brottslingarna keyloggers för att spela in offrens användar-ID och lösenord. Det räckte för att angriparna skulle kunna se hur många engångskoder som användarna hade kvar. När de såg att engångskoderna började ta slut och att det var dags för ett nytt nyckelkort att skickas iväg övervakade de den berörda användarens postlåda och stal nyckelkortet när det anlände. Med tillgång till nyckelkortet hade de den sista pusselbiten som de behövde för att länsa offrets bankkonto och ansöka om krediter i offrets namn.
Samma attack är inte möjlig att genomföra mot svenska biblioteksbesökare som loggar in med Mobilt Bank-ID. Danmark håller också, i detta nu, på att gå över till en säkrare lösning kallad Mit-ID. Det förhindrar dock inte att samma attack fortsätter användas mot webbplatser där användare loggar in med enbart användarnamn och lösenord.
Rekommendationer för biblioteksbesökare
Som användare av publika datorer kan du kontrollera att det inte sitter någon synlig adapter på tangentbordskabeln. Keyloggers kan dock vara svåra, ibland rent av omöjliga, att upptäcka. Bedragarna i Danmark bytte ut biblioteksdatorernas tangentbord mot tangentbord som hade keyloggers monterade inuti. Detta framgår av en artikel hos Danmarks radio.
Vår rekommendation är därför att aldrig logga in från en publik dator på ett konto som inte skyddas med tvåfaktorsautentisering. Om du har tvåfaktorsautentisering aktivt räcker det inte med att ange rätt användarnamn och lösenord för att logga in. Det krävs också en tidsbegränsad engångskod som genereras i en app på din mobil eller skickas till dig via SMS. Eftersom engångskoden är tidsbegränsad har angriparna ingen nytta av den ifall de inte övervakar tangentbordstryckningarna i realtid.
Mobilt Bank-ID skyddar också mot denna typ av attack. Då använder du din mobil för att godkänna inloggningen (identifiera dig). I och med att inloggningen sker utan att du knapparna in några hemligheter på tangentbordet finns det inte heller några hemligheter som kan fastna i keyloggern.
Rekommendationer för bibliotek
Det finns inget hundra-procentigt skydd mot keyloggers. Danmarks radio listar tre rekommendationer som danska nationella cybersäkerhetscentret har gett kommunerna. Där rekommenderas följande.
- Tangentborden bör vara märkta med kommunens namn eller vara inbyggda i bordet för att försvåra manipulation.
- Datorn bör sitta i en låst bur så att kontakter och kablar är oåtkomliga för obehöriga personer.
- USB-portar bör blockeras så att inte obehöriga personer kan koppla in USB-enheter.
Efter att genom åren ha föreläst på många svenska bibliotek vet jag att dessa rekommendationer inte alltid är möjliga att följa. Den sista rekommendationen är framförallt problematisk för bibliotek där besökarna tillåts ha med USB-minnen med filer. Den rekommendationen förhindrar också säker inloggning med USB-säkerhetsnycklar som Yubikey (en ännu säkrare inloggningsmetod som också skyddar mot realtidattacker).
Det viktigaste är att medarbetarna är medvetna om risken så att de uppmärksammar varningstecken, till exempel personer som mixtrar med datorerna eller ifall det sitter adaptrar på kablarna. Det är också lika viktigt att regelbundet kontrollera att inget annat än bibliotekets egen utrustning sitter inkopplad i datorerna.
Uppdatering 2022-02-15: Förtydligande av attackförfarande.
Kommentarer
Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.