防堵網頁「挖礦綁架」,學會 3 招拒當免費礦工

作者 | 發布日期 2018 年 02 月 19 日 0:00 | 分類 數位貨幣 , 網路 , 資訊安全 follow us in feedly

駭客也搶賺加密貨幣挖礦財,2017 年開始出現大量的網頁式惡意挖礦程式,埋在熱門網站裡利用用戶電腦資源挖礦,讓人防不勝防。不只是電腦,趨勢科技便指出,如果常覺得手機速度好像越來越慢或是電池常發燙,可能已成為駭客的免費挖礦工。



網頁挖礦程式以 Coinhive 為首,色情類網站最危險

趨勢科技資深技術顧問簡勝財指出,過去惡意挖礦程式多以木馬程式的形式進駐用戶電腦偷挖礦,但從 2017 年起,透過 Javascript 執行的網頁式挖礦程式越來越多,甚至伴隨惡意廣告大規模散布。12 日也傳出包含英、美政府等 4,200 個網站,皆被植入惡意挖礦程式碼。

什麼是網頁式挖礦程式?以市占率最高的 Coinhive 為例,其將挖取門羅幣的程式打包在瀏覽器端的 Javascript 中,網站業者只要在自家網站嵌入 Coinhive 程式碼,就能利用用戶電腦運算力挖取門羅幣。Coinhive 希望網站業者可用這筆收入取代在網站植入廣告的收入,一方面也提高用戶體驗,而 Coinhive 則從中抽三成。

儘管 Coinhive 提醒不要在未提示用戶的情況下使用該服務,但事實上,Coinhive 已被多個網站濫用,偷偷盜取用戶電腦運算資源。根據 AdGuard 研究報告,有近 10 億名串流媒體網站的訪客被祕密地用在挖礦活動。

根據奇虎 360 旗下的網路安全研究實驗室(Network Security Research Lab,Netlab)調查,Alexa Top 30 萬的網站中,有 629(0.21%)網站在首頁嵌入挖礦程式碼,其中色情相關網站是主體,占整體 49%,其他還有詐騙(8%)、廣告(7%)、挖礦(7%)、影視(6%)等類別,且部分內容網站還會嵌入 2 個或更多挖礦網站。

挖礦程式不只嵌入網頁,趨勢科技發現,有駭客利用 Google 網路廣告服務 DoubleClick 來散布挖礦惡意程式,也讓 Coinhive 挖礦程式數量突然成長 3 倍,受害地區包括日本、法國、台灣、義大利與西班牙。

防堵網頁挖礦綁架,學會 3 招自保

趨勢科技指出,只要避免瀏覽器執行 JavaScript 應用程式,就能防止 Coinhive 挖礦程式使用 CPU 資源。此外,定期修補、定期更新軟體,尤其是網頁瀏覽器,也能降低加密貨幣挖礦程式的影響。

不只是電腦,手機同樣會受網頁式挖礦程式影響,但更難察覺。簡勝財建議,可用有網頁過濾機制的防毒應用程式加以防範。此外,趨勢科技也推出瀏覽器 App「Trend Micro Zero」,可阻擋內嵌挖礦程式,降低裝置電量耗損,但目前僅有 iOS 版本。

(本文由 數位時代 授權轉載;首圖來源:pixabay

延伸閱讀:

關鍵字: , ,