Hoe weet ik of ik een keylogger heb?

Handmatig lastig te detecteren. Symptomen kunnen zijn: ongebruikelijk CPU-gebruik, onverklaard netwerkverkeer en antiviruswaarschuwingen. De betrouwbare controle is het uitvoeren van moderne EDR- of anti-malwarescans. Als u een vermoeden heeft dat er veel op het spel staat, is een herinstallatie van het besturingssysteem vanaf bekende schone media de definitieve oplossing.

Beschermt een VPN tegen keyloggers?

Nee. Keyloggers werken op uw apparaat voordat enig netwerkverkeer het verlaat. Een VPN codeert wat er over de draad gaat; het kan niet helpen als de schadelijke software zich al op uw computer bevindt.

Kunnen wachtwoordmanagers keyloggers verslaan?

Gedeeltelijk. Het automatisch invullen omzeilt het typen, zodat de keylogger het wachtwoord niet vastlegt. Maar uw hoofdwachtwoord is nog steeds getypt; als een keylogger dat te pakken krijgt, is de kluis van de manager gecompromitteerd. Hardware-key 2FA op de wachtwoordbeheerder verslaat dit.

Vormen hardware keyloggers nog steeds een reële bedreiging?

Nog geen twintig jaar geleden omdat de meeste mensen op laptops werken waar USB-poorten zichtbaar zijn. Grotere zorg voor desktopwerkstations in gedeelde kantoren en voor doelstellingen met hoge inzet. Detectie is fysieke inspectie.

Hoe lang blijven keyloggers gewoonlijk onopgemerkt?

Weken tot maanden voor goed ontworpen exemplaren. Commodity keyloggers worden snel betrapt door op handtekeningen gebaseerde AV; Aangepaste varianten die bij gerichte aanvallen worden gebruikt, ontwijken langer detectie. De gemiddelde verblijftijd komt overeen met de bredere detectie van inbreuken – ongeveer 80 dagen volgens recente rapporten.

Keyloggers uitgelegd: software en hardware die elke toetsaanslag registreren

Een keylogger registreert wat u typt (wachtwoorden, berichten, creditcardnummers, zoekopdrachten) en stuurt dit door naar degene die het heeft geïnstalleerd. Ze komen als malware die op uw computer draait, als hardwaredongles die op uw toetsenbord zijn aangesloten en als legitieme software voor ouderlijk toezicht. Het begrijpen van de varianten verklaart zowel de dreiging als de grenzen van wat andere verdedigingsmechanismen kunnen doen.

De volledige artikeltekst vindt u hieronder in het Engels.

A keylogger (toetsaanslaglogger) is software of hardware die toetsaanslagen op een apparaat vastlegt. Ze zijn een van de oudste en meest betrouwbare vormen van diefstal van inloggegevens en blijven als categorie bestaan, zelfs nu het bredere malwarelandschap dramatisch is veranderd.

De categorieën

Software keyloggers: programma's die op het besturingssysteem draaien en toetsenbordinvoer onderscheppen via OS-hooks. Meest voorkomend. Moderne varianten integreren met bredere spyware/RAT-functionaliteit (trojan voor externe toegang).
Keyloggers op kernelniveau - werken op het kernelniveau van het besturingssysteem, zijn moeilijker te detecteren en vereisen verhoogde rechten om te installeren. Wordt gebruikt in malware van nationale kwaliteit.
Hypervisor-keyloggers — draaien onder het besturingssysteem in een hypervisor. Theoretisch voor algemene malware, gebruikt in geavanceerd onderzoek en (naar verluidt) sommige inlichtingenoperaties.
Hardware keyloggers – fysieke apparaten die zich tussen het toetsenbord en de computer bevinden. Er bestaan USB- en PS/2-versies. Ze kunnen alleen door software niet worden gedetecteerd: het besturingssysteem ziet een normaal toetsenbord.
Akoestische/elektromagnetische keyloggers: onderzoekers hebben het herstel van toetsaanslagen aangetoond door typegeluiden, elektromagnetische emissies en zelfs metingen van de versnellingsmeter van smartphones in de buurt van een toetsenbord. Minder vaak voorkomend, maar gedocumenteerd.
Browser-gebaseerd / formuliergrabbers - kwaadaardige browserextensies of JavaScript die invoer van webformulieren vastleggen. Vaak in combinatie met botnets voor diefstal van inloggegevens.

Hoe software keyloggers worden geïnstalleerd

Phishing-bijlagen: Office-macro's, kwaadaardige PDF's, uitvoerbaar bestand vermomd als documenten
Gebundeld met gekraakte softwaredownloads
Drive-by-downloads van besmette websites (nu zeldzaam dankzij browser-sandboxing)
Schadelijke browserextensies
USB valt weg - geïnfecteerde USB's blijven achter zodat slachtoffers deze kunnen aansluiten
Insider-installatie - fysieke toegang door iemand met de bedoeling

Wat moderne keyloggers vastleggen

De categorie is verder geëvolueerd dan alleen toetsaanslagen:

Toetsaanslagen (de originele functie)
Klembordinhoud
Schermafbeeldingen met tussenpozen of geactiveerde gebeurtenissen
Browsergegevens automatisch aanvullen
Opgeslagen inloggegevens in browserwachtwoordbeheerders (als de malware gebruikersniveau heeft toegang)
Webcam- en microfoontoegang
Browsen en exfiltratie van bestandssysteem
Interacties tussen bank-apps en eenmalige wachtwoorden wanneer ze worden ingevoerd

Wat in de moderne informatie over bedreigingen een "keylogger" wordt genoemd, is vaak een breder spywareplatform.

Hardware keyloggers in detail

A USB keylogger ziet eruit als een kleine USB-extender. Het toetsenbord kan aan één kant worden aangesloten; de andere kant wordt op de computer aangesloten. Binnenin zit een kleine microcontroller en flashgeheugen. Elke toetsaanslag die wordt doorgegeven, wordt geregistreerd. Om de gegevens op te halen, komt de aanvaller terug en sluit het apparaat aan op een USB-poort om te downloaden. Vaak fungeert de keylogger zelf als een verwisselbare schijf wanneer deze wordt benaderd met een specifieke toetsaanslagcombinatie.

Hardware keyloggers zijn niet detecteerbaar door software. De verdediging is fysiek: merk onbekende apparaten achter uw computer op, zoek naar ongebruikelijke USB-extenders, plaats USB-poortafdekkingen voor gevoelige werkstations.

Wat beschermt tegen keyloggers

Eindpuntbeveiliging (EDR). Moderne EDR detecteert keylogger-gedrag (toetsenbordhooks, procesinjectie, verdachte gegevensexfiltratie) ongeacht de specifieke handtekening.
Antimalwarescanners. Ontdek bekende keyloggerfamilies. Minder effectief tegen aangepaste varianten.
Hardware-sleutel 2FA. Een FIDO2-sleutel ondertekent een uitdaging met een hardwarebeveiligde sleutel. De keylogger legt niets nuttigs vast; de handtekening is eenmalig en gebonden aan de oorsprong.
Wachtwoordbeheerders met automatisch aanvullen. De wachtwoordbeheerder plakt inloggegevens zonder deze te typen. De keylogger legt alleen het hoofdwachtwoord vast (daarom is de hoofdwachtwoordbeveiliging van groot belang).
Schermtoetsenborden voor gevoelige invoer. Verslaat hardware keyloggers; software keyloggers kunnen ook aanraakgebeurtenissen hooken, dus gedeeltelijke verdediging.
Fysieke beveiliging. Zorg ervoor dat niet-vertrouwde mensen geen fysieke toegang tot uw computer hebben.
Bootkits / Secure Boot. Voorkomt dat keyloggers op kernelniveau blijven bestaan reboots.

Het legitieme gebruik

Er bestaan verschillende niet-kwaadwillige toepassingen:

Ouderlijk toezicht op gezinsapparaten. Legaal in de meeste rechtsgebieden; ethisch betwist voor oudere kinderen.
Toezicht door werkgever van werkapparatuur. Legaal met kennisgeving aan de werknemer in de meeste landen; vereist in sommige gereguleerde sectoren.
Geautoriseerde red-team-opdrachten. Penetratietesters zetten keyloggers in om de impact aan te tonen tijdens beveiligingsbeoordelingen.
Research. Forensische en beveiligingsonderzoekers bestuderen keylogger-families om de technieken van aanvallers te begrijpen.

De grens tussen "legitieme monitoring" en "spyware" zijn vaak legaal (toestemming van de eigenaar van het apparaat) in plaats van technisch.

Mobiele keyloggers

Mobiele platforms maken keylogging standaard moeilijker: apps kunnen geen invoer buiten hun eigen oppervlak waarnemen. Beveiligingen zijn onder meer:

Sandbox-apps die niet kunnen zien wat andere apps ontvangen
Toegankelijkheidsservices vereisen expliciete toestemming en waarschuwingen van de gebruiker
Stalkerware die toegankelijkheid exploiteert voor monitoring bestaat, maar wordt steeds vaker gedetecteerd door mobiele beveiligingstools

De Pegasus en vergelijkbare mobiele spyware van de natiestaat bereiken dit keylogging-equivalente mogelijkheden via zero-day exploits, niet door de gebruiker toegestaan toezicht. Om hiertegen te verdedigen is de Lockdown-modus (iOS) of gelijkwaardige extreme maatregelen vereist.

Veelgestelde vragen

Hoe weet ik of ik een keylogger heb?: Handmatig lastig te detecteren. Symptomen kunnen zijn: ongebruikelijk CPU-gebruik, onverklaard netwerkverkeer en antiviruswaarschuwingen. De betrouwbare controle is het uitvoeren van moderne EDR- of anti-malwarescans. Als u een vermoeden heeft dat er veel op het spel staat, is een herinstallatie van het besturingssysteem vanaf bekende schone media de definitieve oplossing.
Beschermt een VPN tegen keyloggers?: Nee. Keyloggers werken op uw apparaat voordat enig netwerkverkeer het verlaat. Een VPN codeert wat er over de draad gaat; het kan niet helpen als de schadelijke software zich al op uw computer bevindt.
Kunnen wachtwoordmanagers keyloggers verslaan?: Gedeeltelijk. Het automatisch invullen omzeilt het typen, zodat de keylogger het wachtwoord niet vastlegt. Maar uw hoofdwachtwoord is nog steeds getypt; als een keylogger dat te pakken krijgt, is de kluis van de manager gecompromitteerd. Hardware-key 2FA op de wachtwoordbeheerder verslaat dit.
Vormen hardware keyloggers nog steeds een reële bedreiging?: Nog geen twintig jaar geleden omdat de meeste mensen op laptops werken waar USB-poorten zichtbaar zijn. Grotere zorg voor desktopwerkstations in gedeelde kantoren en voor doelstellingen met hoge inzet. Detectie is fysieke inspectie.
Hoe lang blijven keyloggers gewoonlijk onopgemerkt?: Weken tot maanden voor goed ontworpen exemplaren. Commodity keyloggers worden snel betrapt door op handtekeningen gebaseerde AV; Aangepaste varianten die bij gerichte aanvallen worden gebruikt, ontwijken langer detectie. De gemiddelde verblijftijd komt overeen met de bredere detectie van inbreuken – ongeveer 80 dagen volgens recente rapporten.