«keylogger-вскидыватель» — это не совсем строгий технический термин, но в практике под ним обычно понимают маленькое USB-устройство, которое при подключении притворяется клавиатурой и быстро вводит заранее подготовленные команды. Его задача — «вскинуть» в систему кейлоггер, скрипт, вредоносную задачу или украсть данные из открытой сессии. В ноутбуке без антивируса бороться с этим нужно не ожиданием, что система «сама поймает», а двумя вещами: закрыть физический доступ к портам и сделать так, чтобы даже введённые команды не дали злоумышленнику власть над ноутбуком.
Что именно нужно остановить
У такой атаки обычно есть три условия:
- кто-то должен физически подключить устройство к USB, USB-C, Thunderbolt, док-станции или хабу;
- ноутбук должен быть разблокирован, находиться в сомнительной сессии или иметь слабые настройки доступа;
- введённые команды должны получить возможность что-то запустить, сохранить или передать.
Если ноутбук заблокирован надёжным паролем, порты закрыты, а пользователь работает не из-под администратора, пользы от такого устройства намного меньше. Оно не ломает шифрование диска и не обходит хороший пароль одним фактом подключения. Его сила — в быстром вводе команд от имени того, кто сейчас сидит за ноутбуком.
Отдельно стоит помнить про пассивные аппаратные кейлоггеры. Они могут висеть между внешней клавиатурой и ноутбуком и просто записывать нажатия. В чистом ноутбуке со встроенной клавиатурой такой вариант встречается реже, но если вы используете внешнюю клавиатуру, хаб или док-станцию, риск появляется. Поэтому защита строится одинаково: не давать чужой периферии попадать в цепочку между клавиатурой и ноутбуком.
Почему без антивируса нельзя полагаться на «поймает»
Антивирус хорошо ищет известные вредоносные файлы, но «вскидыватель» может выглядеть для системы как обычная клавиатура. Он не обязательно сразу несёт в себе файл, который нужно обнаружить. Он вводит команды, открывает окна, запускает штатные средства системы и уже потом может что-то сохранить.
Поэтому без антивируса главная идея другая: не пытаться угадать конкретную угрозу, а убрать возможность для неё сработать. Нужно сделать так, чтобы злоумышленник не смог подключить устройство, не смог получить unlocked-сессию и не смог запустить вредоносное действие с правами администратора.
Физический подход: не дать устройству попасть в порт
Физическая защита здесь не формальность. Если гаджет некуда воткнуть, атака заканчивается раньше, чем начнётся.
Что сделать на практике:
- Не оставляйте ноутбук разблокированным без присмотра. Даже на «пять минут» в переговорке, отеле, коворкинге или офисе. За это время можно подключить устройство, открыть окно терминала и ввести команды.
- Проверяйте порты перед работой. Лишний USB-свисток, неизвестный хаб, странный переходник, чужая док-станция или маленькая вставка между клавиатурой и кабелем — повод остановиться.
- Используйте физические заглушки для USB-портов. Лучше закрывать все неиспользуемые порты, а не один-два. Заглушки не дают абсолютной защиты, но усложняют незаметное подключение.
- Отключите лишние внешние порты в BIOS/UEFI, если это возможно. Особенно порты, которыми вы не пользуетесь: передние USB, Thunderbolt, USB-C для данных. Если ноутбук работает с одной док-станцией или одной клавиатурой, это хороший вариант.
- Поставьте пароль на BIOS/UEFI. Это не пароль Windows, а пароль прошивки. Он мешает злоумышленнику включить загрузку с флешки или поменять настройки безопасности.
- Запретите загрузку с внешних носителей. Это защищает не только от «вскидывателя», но и от сценария, когда ноутбук пытаются загрузить с чужого носителя.
- Не подключайте чужие хабы, кабели и док-станции. Хуб — это не просто удлинитель. Через него можно подключить устройство, которое ноутбук увидит как клавиатуру или накопитель.
- Для публичной зарядки используйте только питание или charge-only-кабель. Такой кабель не поможет, если злоумышленник подключает устройство прямо к вашему ноутбуку, но он снижает риск при зарядке от сомнительных портов.
- Используйте замок Kensington или аналогичное крепление. Оно не защитит от атаки, если ноутбук открыт и разблокирован, но мешает быстро украсть устройство или спокойно работать с ним в чужой зоне.
Отдельный момент — док-станции. Если ноутбук постоянно стоит на хабе, не забывайте, что атакующему не обязательно лезть в сам ноутбук: достаточно порта на док-станции. Поэтому док тоже должен быть под контролем.
Программный подход: сделать так, чтобы команды ничего не смогли
Физическая защита уменьшает шанс подключения. Программная защита нужна на случай, если кто-то всё-таки что-то ввёл. Здесь цель простая: не дать обычному пользовательскому вводу превратиться в полный контроль над ноутбуком.
Что настроить:
- Работайте из обычного пользовательского аккаунта. Не используйте администратора для повседневной работы. Если «вскидыватель» введёт команду установки программы, система должна запросить пароль администратора, а не выполнить всё молча.
- Поставьте автоблокировку. Оптимально — 1–3 минуты бездействия. Проверяйте, чтобы после сна и закрытия крышки требовался пароль или биометрия.
- Отключите автовход. Ноутбук не должен сам заходить в вашу сессию после перезагрузки.
- Включите шифрование диска. BitLocker, FileVault или шифрование в Linux не остановят атаку во время открытой сессии, но защитят данные, если ноутбук украдут или попытаются загрузить с внешнего носителя.
- Используйте контроль запуска программ. В Windows это могут быть AppLocker или WDAC, в macOS — Gatekeeper и ограничения прав доступа, в Linux — обычные права пользователя, AppArmor/SELinux и запрет лишних запусков. Смысл один: запускать можно только то, чему вы доверяете.
- Ограничьте USB-устройства. Не стоит блокировать вообще все HID-устройства, иначе перестанут работать клавиатура и мышь. Лучше запрещать установку неизвестных USB-устройств, ограничивать накопители и разрешать только свою периферию. В Windows это делается через политики установки устройств, в Linux — через usbguard, в macOS — через настройки доступа аксессуаров и профили управления, если они доступны.
- Проверьте расширения браузера. Открытая банковская, почтовая или корпорат


