Keylogger

Czym jest keylogger?

Keylogger (z ang. keystroke logger) to rodzaj oprogramowania szpiegującego (spyware) lub urządzenie sprzętowe potajemnie rejestrujące naciśnięcia klawiszy użytkownika. Zgodnie z definicjami NIST i CERT Polska, narzędzie służy do przechwytywania poświadczeń logowania, danych finansowych i treści korespondencji. W odróżnieniu od ransomware keylogger nie szyfruje plików ani nie blokuje dostępu — jego siła tkwi w całkowitej niewidoczności dla ofiary.

Raport Verizon DBIR 2025 wskazuje, że skradzione poświadczenia stanowią dziś najczęstszy wektor ataku, odpowiadając za 22% wszystkich naruszeń bezpieczeństwa. Jednokrotne przechwycenie poświadczeń uprzywilejowanego administratora otwiera drogę do zasobów wewnętrznych z pominięciem firewalla, VPN i polityk IAM.

Czy keylogger to wirus?

Nie, keylogger to nie wirus w klasycznym rozumieniu. W odróżnieniu od ransomware czy robaków sieciowych nie powoduje widocznych szkód w systemie – zainfekowana maszyna operuje pozornie normalnie, podczas gdy w tle rejestrowane są 3 kategorie danych: wpisywane znaki, skróty klawiszowe oraz zawartość formularzy webowych.

Keyloggery posiadają również legalne zastosowania – diagnostykę IT, badania UX i autoryzowaną kontrolę rodzicielską. Statystyki FBI wskazują jednak, że ponad 92% faktycznych wdrożeń ma charakter przestępczy.

Jak działają keyloggery i w jaki sposób infekują urządzenia?

Keyloggery programowe trafiają na urządzenia głównie przez kampanie spear-phishingowe, ataki drive-by-download (pobranie złośliwego oprogramowania podczas przeglądania stron) oraz fałszywe instalatory podszywające się pod legalne oprogramowanie. Wersje sprzętowe wymagają dostępu fizycznego lub kompromitacji łańcucha dostaw.

Rejestrowanie wejść klawiatury i techniki kradzieży danych

Mechanizm przechwytywania opiera się na hakach klawiaturowych (keyboard hooks) – strukturach systemu operacyjnego zaprojektowanych do legalnych celów programistycznych. Złośliwy proces wpina się w łańcuch obsługi zdarzeń i kopiuje strumień naciśnięć do własnego bufora. Nowoczesne warianty wychodzą poza samą rejestrację klawiszy – wykonują zrzuty ekranu przy logowaniu do banków, skanują historię przeglądarki i aktywują mikrofon lub kamerę. Szczególnie groźne są form-grabbery przechwytujące hasła w pamięci lokalnej tuż przed zaszyfrowaniem transmisji TLS. Zabezpieczenia sieciowe są wobec nich bezradne, ponieważ kradzież następuje, zanim dane trafią do kanału szyfrowanego.

Techniki zapewniania trwałości w systemie

Zaawansowane keyloggery stosują 2 techniki chroniące je przed usunięciem z urządzenia: maskowanie rootkitowe oraz polimorfizm kodu. Rootkit ukrywa proces przed menedżerem zadań, a pliki – przed narzędziami eksploracji. Polimorfizm polega na automatycznej zmianie sygnatury przy każdej infekcji. Klasyczny antywirus oparty na statycznych sygnaturach jest wobec tych technik bezsilny.

Jakie są główne rodzaje i metody działania keyloggerów?

Keyloggery dzielimy według dwóch kryteriów: sposobu działania (programowy lub sprzętowy) oraz poziomu uprawnień w systemie.

Keyloggery programowe (na poziomie API, Kernel oraz JavaScript)

Keyloggery programowe dominują w statystykach infekcji. Występują w 3 wariantach technicznych:

• Keyloggery API – wykorzystują udokumentowane funkcje systemu (haki klawiaturowe Windows). Działają w przestrzeni użytkownika, relatywnie łatwe do wykrycia przez EDR.
• Keyloggery na poziomie jądra (Kernel) – instalują się jako złośliwe sterowniki w najwyższej warstwie uprzywilejowania. Detekcja wymaga analizy pamięci jądra lub monitoringu z poziomu hiperwizora.
• Keyloggery JavaScript – wstrzykiwane do kodu aplikacji webowych przez luki XSS. Zainfekowana jest nie maszyna ofiary, lecz warstwa prezentacji serwisu.

Keyloggery sprzętowe (fizyczne rejestratory)

Keyloggery sprzętowe są niewidoczne dla programów antywirusowych i EDR, ponieważ przechwytywanie impulsów elektrycznych odbywa się poza logiką systemu operacyjnego.

Kategoria sprzętowa	Sposób działania	Wymagany dostęp
Urządzenia inline	Moduły wpinane między klawiaturą a portem USB/PS-2	Kilkusekundowy dostęp fizyczny
Elementy wbudowane	Mikroukłady lutowane wewnątrz obudowy klawiatury	Długotrwały dostęp lub atak na łańcuch dostaw
Złośliwy firmware	Przeprogramowanie mikrokontrolerów klawiatury	Specjalistyczne narzędzia programatorskie
Przechwytywacze RF	Nasłuch nieszyfrowanych pakietów klawiatur bezprzewodowych	Brak – wystarczy zasięg radiowy

Dlaczego keyloggery stanowią krytyczne zagrożenie dla firm?

Dwa głośne incydenty korporacyjne obrazują skalę problemu. W ataku na LastPass przestępcy zainstalowali keyloggera na domowym systemie inżyniera pracującego zdalnie, co doprowadziło do wycieku kodu źródłowego i kopii zapasowych danych klientów. W analogicznym ataku na CircleCI keylogger umożliwił kradzież żetonów sesyjnych już po autoryzacji. Mechanizm MFA okazał się bezużyteczny, ponieważ złośliwy kod operował z poziomu zaufanego urządzenia. MFA to nie wszystko – silny keylogger w przeglądarce omija uwierzytelnianie wieloskładnikowe, przechwytując ciasteczko sesyjne po fazie logowania.

Przypadki złośliwego użycia a legalne zastosowania

Użycie keyloggera bez wiedzy ofiary w Polsce wyczerpuje znamiona przestępstwa z art. 267 § 3 Kodeksu Karnego. Monitoring pracowniczy z użyciem keyloggerów pozostaje w praktyce niedopuszczalny – art. 22² Kodeksu Pracy wymaga niezbędności i proporcjonalności, a nieprzerwane logowanie wszystkich naciśnięć klawiszy łamie obie te zasady. Orzecznictwo polskich sądów oraz wytyczne UODO są w tej kwestii jednoznaczne.

Czy keyloggery stanowią zagrożenie również dla firmowych urządzeń mobilnych?

Tak, keyloggery mobilne to rosnące ryzyko dla firm stosujących model BYOD. Występują w 3 formach: złośliwe klawiatury ekranowe z nieoficjalnych sklepów, aplikacje nadużywające usług dostępności w Androidzie oraz ataki akustyczne analizujące dźwięk naciśnięć klawiszy przez mikrofon smartfona.

Jak skutecznie rozpoznać, wykryć i usunąć keyloggera z systemu?

Keyloggera można wykryć na podstawie 5 kategorii sygnałów diagnostycznych: anomalie wydajnościowe (opóźnienia między naciśnięciem klawisza a wyświetleniem znaku na ekranie), podejrzany ruch sieciowy wychodzący do nieznanych domen, nieoczekiwane procesy w uruchamiane automatycznie wraz z systemem operacyjnym lub w harmonogramie zadań, obce przejściówki USB oraz nietypowa aktywność kont.

Klasyczny antywirus oparty na sygnaturach jest niewystarczający do wykrycia keyllogera. Skuteczna detekcja wymaga rozwiązań klasy EDR (Endpoint Detection and Response) oraz NGAV (Next-Generation Antivirus) z analizą behawioralną. Rozwiązania te identyfikują intruza w momencie wpięcia biblioteki DLL w przerwania systemowe, nawet gdy plik binarny jest nieznany. Po wykryciu zagrożenia konieczne jest odizolowanie endpointu od sieci, przeprowadzenie analizy DFIR, reinstalacja systemu z zaufanego nośnika oraz unieważnienie wszystkich poświadczeń używanych na skompromitowanym urządzeniu.

Jak uchronić firmę i komputery przed zainfekowaniem przez keyloggery?

Odporność organizacji na keyloggery wymaga warstwowego podejścia łączącego technologię, edukację i procedury. Kluczowe działania to:

• Wdróżenie rozwiązania klasy EDR/NGAV – ochrona endpointów oparta na analizie behawioralnej, a nie statycznych sygnaturach.
• Zabezpieczenie logowanie kluczami sprzętowymi – klucze FIDO2/WebAuthn są odporne na phishing i przechwycenie tokenu sesyjnego, inaczej niż kody SMS czy TOTP.
• Ograniczenie interfejsy USB – polityka HID z białą listą VID/PID, fizyczne blokady portów w strefach wrażliwych.
• Wdrożenie Zero Trust i segmentacji sieci – ograniczenie ruchu bocznego w razie kompromitacji pojedynczej stacji roboczej.
• Aktualizowanie systemów i aplikacji – patch management redukuje ekspozycję na podatności Zero Day wykorzystywane do dystrybucji keyloggerów.
• Szkolenie pracowników z rozpoznawania phishingu – inżynieria społeczna pozostaje dominującą drogą dystrybucji keyloggerów programowych.

Jak będą ewoluować cyberataki z użyciem keyloggerów w najbliższych latach?

Nowa generacja keyloggerów wykracza poza warstwę programową maszyny ofiary. Ataki akustyczne (Acoustic Side-Channel Attacks) rekonstruują naciśnięcia klawiszy na podstawie nagrań z mikrofonów smartfonów lub asystentów głosowych, wspierane przez konwolucyjne sieci neuronowe i modele językowe. Badania nad systemem WiKey udowodniły, że sygnał Wi-Fi pozwala rozpoznać wpisywany tekst z dokładnością przekraczającą 93% poprzez analizę zaburzeń propagacji fal. Dla zespołów Blue Team oznacza to konieczność rozszerzenia monitoringu o anomalie w ruchu wychodzącym oraz – w środowiskach wysokiego ryzyka – kontrolę akustyczną i radiową przestrzeni biurowej.

Keylogger a wymogi prawne – RODO, Kodeks Pracy i NIS2

Skuteczna kradzież poświadczeń przez keyloggera prowadzi wprost do naruszenia ochrony danych osobowych klientów, partnerów i pracowników. Obowiązek aktywnej obrony przed tym wektorem ataku wynika bezpośrednio z 3 reżimów prawnych i normatywnych:

• RODO – nakłada obowiązek wdrożenia adekwatnych środków technicznych i organizacyjnych chroniących dane osobowe. Naruszenie skutkujące wyciekiem danych z powodu nieskutecznej ochrony endpointów rodzi obowiązek zgłoszenia incydentu do UODO w ciągu 72 godzin oraz grozi karą do 20 mln euro lub 4% rocznego globalnego obrotu.

• Dyrektywa NIS2 – nakłada na podmioty kluczowe i ważne obowiązek wdrożenia polityk zarządzania ryzykiem oraz procedur reagowania na incydenty. Za zaniedbania grożą dotkliwe kary finansowe, a członkowie zarządu ponoszą osobistą odpowiedzialność.
• Normy ISO 27001 i ISO 27002 – wymagają wdrożenia mechanizmów ochrony przed złośliwym oprogramowaniem (kontrola A.8.7), zarządzania podatnościami technicznymi oraz monitorowania aktywności systemów.

Brak ochrony przed keyloggerami w organizacji to dziś nie tylko ryzyko operacyjne, ale realne ryzyko prawne i finansowe dla kadry zarządzającej.

Słowniczek pojęć powiązanych z keyloggerami