駭客也搶賺加密貨幣挖礦財,去年開始出現大量的網頁式惡意挖礦程式,埋在熱門網站中利用用戶電腦資源挖礦,讓人防不勝防。不只是電腦,趨勢科技便指出,如果常覺得手機速度好像越來越慢或是電池常常發燙,可能已成為幫駭客的免費挖礦工。
網頁挖礦程式以Coinhive為首,色情類網站最危險
趨勢科技資深技術顧問簡勝財指出,過去惡意挖礦程式多以木馬程式的形式進駐在用戶電腦中偷挖礦,但從去年起,透過javascript執行的網頁式挖礦程式越來越多,甚至伴隨著惡意廣告大規模散布。12日也傳出包含英、美政府等4,200個網站,皆被植入惡意挖礦程式碼。
什麼是網頁式挖礦程式?以市占率最高的Coinhive為例,其將挖取門羅幣的程式打包在瀏覽器端的javascript中,而網站業者只要在自家網站嵌入Coinhive程式碼,就能利用用戶電腦運算力挖取門羅幣。Coinhive希望網站業者可用這筆收入取代在網站植入廣告的收入,一方面也提高用戶體驗,而Coinhive則從中抽三成。
儘管Coinhive提醒不要在未提示用戶的情況下使用該服務,但事實上,Coinhive已經被多個網站濫用,偷偷盜取用戶電腦運算資源。根據AdGuard研究報告,有近十億名串流媒體網站的訪客被秘密地用在挖礦活動。
根據奇虎360旗下的網路安全研究實驗室(Network Security Research Lab,Netlab)調查,Alexa Top 30萬的網站中,有629(0.21%)個網站在首頁嵌入挖礦程式碼,其中色情相關網站是主體,占整體49%,其他還有詐騙(8%)、廣告(7%)、挖礦(7%)、影視(6%)等類別,且部分內容網站還會嵌入2個或更多挖礦網站。
挖礦程式不只是被嵌入在網頁中,趨勢科技發現,有駭客利用Google網路廣告服務DoubleClick來散布挖礦惡意程式,也讓Coinhive挖礦程式數量突然成長3倍,受害地區包括日本、法國、台灣、義大利與西班牙。
防堵網頁挖礦綁架,學會三招自保
趨勢科技指出,只要避免瀏覽器執行JavaScript應用程式,就能防止Coinhive挖礦程式使用CPU資源。此外,定期修補、定期更新軟體,尤其是網頁瀏覽器,也能降低加密貨幣挖礦程式的影響。
不只是電腦,手機同樣會受網頁式挖礦程式影響,但更難察覺。簡勝財建議,可用有網頁過濾機制的防毒應用程式加以防範。此外,趨勢科技也推出瀏覽器App「Trend Micro Zero」,可阻擋內嵌挖礦程式,降低裝置電量耗損,但目前僅有iOS版本。