防堵网页“挖矿绑架”,学会 3 招拒当免费矿工

作者 | 发布日期 2018 年 02 月 19 日 8:15 | 分类 Fintech , 网络 , 资讯安全
hacker-1944688_1280-624x416

黑客也抢赚加密货币挖矿财,2017 年开始出现大量的网页式恶意挖矿程序,埋在热门网站里利用用户电脑资源挖矿,让人防不胜防。不只是电脑,趋势科技便指出,如果常觉得手机速度好像越来越慢或是电池常发烫,可能已成为黑客的免费挖矿工。



网页挖矿程序以 Coinhive 为首,色情类网站最危险

趋势科技资深技术顾问简胜财指出,过去恶意挖矿程序多以木马程序的形式进驻用户电脑偷挖矿,但从 2017 年起,透过 Javascript 执行的网页式挖矿程序越来越多,甚至伴随恶意广告大规模散布。12 日也传出包含英、美政府等 4,200 个网站,皆被植入恶意挖矿源代码。

什么是网页式挖矿程序?以市占率最高的 Coinhive 为例,其将挖取门罗币的程序打包在浏览器端的 Javascript 中,网站业者只要在自家网站嵌入 Coinhive 源代码,就能利用用户电脑运算力挖取门罗币。Coinhive 希望网站业者可用这笔收入取代在网站植入广告的收入,一方面也提高用户体验,而 Coinhive 则从中抽三成。

尽管 Coinhive 提醒不要在未提示用户的情况下使用该服务,但事实上,Coinhive 已被多个网站滥用,偷偷盗取用户电脑运算资源。根据 AdGuard 研究报告,有近 10 亿名流媒体网站的访客被秘密地用在挖矿活动。

根据奇虎 360 旗下的网络安全研究实验室(Network Security Research Lab,Netlab)调查,Alexa Top 30 万的网站中,有 629(0.21%)网站在首页嵌入挖矿源代码,其中色情相关网站是主体,占整体 49%,其他还有诈骗(8%)、广告(7%)、挖矿(7%)、影视(6%)等类别,且部分内容网站还会嵌入 2 个或更多挖矿网站。

挖矿程序不只嵌入网页,趋势科技发现,有黑客利用 Google 网络广告服务 DoubleClick 来散布挖矿恶意程序,也让 Coinhive 挖矿程序数量突然成长 3 倍,受害地区包括日本、法国、中国台湾地区、意大利与西班牙。

防堵网页挖矿绑架,学会 3 招自保

趋势科技指出,只要避免浏览器执行 JavaScript 应用程序,就能防止 Coinhive 挖矿程序使用 CPU 资源。此外,定期修补、定期更新软件,尤其是网页浏览器,也能降低加密货币挖矿程序的影响。

不只是电脑,手机同样会受网页式挖矿程序影响,但更难察觉。简胜财建议,可用有网页过滤机制的防毒应用程序加以防范。此外,趋势科技也推出浏览器 App“Trend Micro Zero”,可阻挡内嵌挖矿程序,降低设备电量耗损,但目前仅有 iOS 版本。

(本文由 数位时代 授权转载;首图来源:pixabay

如需获取更多资讯,请关注微信公众账号:Technews科技新报

数码时代

创刊于 1999 年 7 月,是中国台湾地区第一个以网络和科技为报导核心的媒体。长期聚焦全球、中国等地最新的科技、网络、绿能、数码行销、品牌等议题的动态及趋势。
未经许可,任何媒体、网站或个人不得复制、转载、或以其他方式使用本网站的内容,违者必究。
关键字: , ,

直接使用新浪微博发表评论

 

发表评论