防堵網頁「挖礦綁架」，學會3招拒當免費礦工

駭客也搶賺加密貨幣挖礦財，去年開始出現大量的網頁式惡意挖礦程式，埋在熱門網站中利用用戶電腦資源挖礦，讓人防不勝防。不只是電腦，趨勢科技便指出，如果常覺得手機速度好像越來越慢或是電池常常發燙，可能已成為幫駭客的免費挖礦工。

網頁挖礦程式以Coinhive為首，色情類網站最危險

趨勢科技資深技術顧問簡勝財指出，過去惡意挖礦程式多以木馬程式的形式進駐在用戶電腦中偷挖礦，但從去年起，透過javascript執行的網頁式挖礦程式越來越多，甚至伴隨著惡意廣告大規模散布。12日也傳出包含英、美政府等4,200個網站，皆被植入惡意挖礦程式碼。

什麼是網頁式挖礦程式？以市占率最高的Coinhive為例，其將挖取門羅幣的程式打包在瀏覽器端的javascript中，而網站業者只要在自家網站嵌入Coinhive程式碼，就能利用用戶電腦運算力挖取門羅幣。Coinhive希望網站業者可用這筆收入取代在網站植入廣告的收入，一方面也提高用戶體驗，而Coinhive則從中抽三成。

儘管Coinhive提醒不要在未提示用戶的情況下使用該服務，但事實上，Coinhive已經被多個網站濫用，偷偷盜取用戶電腦運算資源。根據AdGuard研究報告，有近十億名串流媒體網站的訪客被秘密地用在挖礦活動。

根據奇虎360旗下的網路安全研究實驗室（Network Security Research Lab，Netlab）調查，Alexa Top 30萬的網站中，有629(0.21%)個網站在首頁嵌入挖礦程式碼，其中色情相關網站是主體，占整體49%，其他還有詐騙（8%）、廣告（7%）、挖礦（7%）、影視（6%）等類別，且部分內容網站還會嵌入2個或更多挖礦網站。

挖礦程式不只是被嵌入在網頁中，趨勢科技發現，有駭客利用Google網路廣告服務DoubleClick來散布挖礦惡意程式，也讓Coinhive挖礦程式數量突然成長3倍，受害地區包括日本、法國、台灣、義大利與西班牙。

防堵網頁挖礦綁架，學會三招自保

趨勢科技指出，只要避免瀏覽器執行JavaScript應用程式，就能防止Coinhive挖礦程式使用CPU資源。此外，定期修補、定期更新軟體，尤其是網頁瀏覽器，也能降低加密貨幣挖礦程式的影響。

不只是電腦，手機同樣會受網頁式挖礦程式影響，但更難察覺。簡勝財建議，可用有網頁過濾機制的防毒應用程式加以防範。此外，趨勢科技也推出瀏覽器App「Trend Micro Zero」，可阻擋內嵌挖礦程式，降低裝置電量耗損，但目前僅有iOS版本。