騎劫挖礦的意義與定義
騎劫挖礦是一種網路犯罪,牽涉到未經授權使用他人裝置(電腦、智慧型手機、平板電腦或甚至伺服器),讓網路罪犯可以挖礦取得加密貨幣。就像許多形式的網路犯罪,此行為的動機是獲利;但與其他威脅不同,它設計成完全隱藏、不讓受害者知悉。
什麼是騎劫挖礦?
騎劫挖礦是一種嵌入電腦或行動裝置的威脅,能夠使用裝置的資源挖礦取得加密貨幣。加密貨幣是數位化或虛擬的金錢,採用 Token 或「錢幣」的形式。其中最有名的是比特幣,但還存在大約 3,000 種其他加密貨幣。雖然有些加密貨幣已經採取信用卡或其他專案的形式進入現實世界,但大多數加密貨幣還是保持虛擬形式。
加密貨幣在運作上使用分散式資料庫,又稱「區塊鏈」。區塊鏈會定期更新關於所有交易的資訊,只要它們是發生在上次更新之後。最近的每組交易都會透過複雜的數學運算過程加入「區塊」。
為了產生新的區塊,加密貨幣需要個人提供運算能力。加密貨幣會作為獎勵給予提供運算能力的人。那些用運算資源交換貨幣的人就被稱為「礦工」。
較大的加密貨幣會需要礦工團隊執行專用礦機以完成必要的數學運算。此活動需要相當龐大的電力。舉例來說,比特幣網路目前每年會使用超過 73TWh 的電力。
騎劫挖礦者以及騎劫挖礦的未來
這就是騎劫挖礦登場之處:騎劫挖礦者是那些想要加密貨幣挖礦的利益,但卻不想負擔鉅額成本的人。由於不需要為昂貴的挖礦硬體或巨額的電費帳單付錢,騎劫挖礦讓駭客能挖礦取得加密貨幣卻不用支付大額支出。主要在個人電腦上挖礦的加密貨幣類型是門羅幣,由於其難以追蹤而對網路罪犯深具吸引力。
關於騎劫挖礦是在衰退或成長有些爭議。如果用加密貨幣的價值評估,騎劫挖礦還在成長中,特別是針對比特幣和門羅幣。但近年來有兩個因素導致騎劫挖礦受阻:
- 執法部門的打擊。
- 針對虛擬礦工的最大網站 Coinhive 關閉。將 Coinhive 提供的 JavaScript 代碼加入網站中,就能讓造訪者的電腦挖礦取得門羅幣。Coinhive 的代碼很快就被濫用:挖礦腳本也可以在網站所有者一無所知的情況下,由駭客注入網站當中。該網站在 2019 年 3 月關閉。同時,被感染的網站數目也急遽減少。
騎劫挖礦攻擊背後的動機很簡單:錢。挖礦取得加密貨幣可能非常賺錢,但如果不能應付龐大的成本,想要獲利就會很困難。騎劫挖礦是犯罪版本的加密貨幣挖礦,提供不合法但有效又不昂貴的方式挖出珍貴的錢幣。
騎劫挖礦如何運作?
網路罪犯會駭入裝置以安裝騎劫挖礦軟體。此軟體會在背景中運作,挖礦取得加密貨幣或從加密貨幣錢包盜竊。毫無戒心的受害者會一如往常地使用裝置,但他們可能會注意到運作速度變慢或卡頓。
駭客有兩種主要方式能讓受害者的裝置祕密挖礦取得加密貨幣:
- 引誘受害者點擊電子郵件內的惡意連結,讓電腦讀取加密貨幣挖礦代碼
- 以 JavaScript 代碼感染網站或網路廣告,該代碼會在載入至受害者的瀏覽器時自動執行
駭客通常會同時使用兩種方式以最大化收益。在這兩種情況下,代碼都會將騎劫挖礦腳本置入裝置,在受害者正常使用時於背景運作。不論是使用哪種方式,腳本都會在受害者的裝置上執行複雜的數學運算問題,並將結果送到駭客控制的伺服器上。
不像其他惡意軟體類型,騎劫挖礦腳本不會傷害電腦或受害者的資料。然而,他們確實會偷竊電腦的處理資源。對於個人使用者來說,更慢的電腦效能可能只會令人不快。但騎劫挖礦對於企業來說會造成問題,因為如果組織內有許多被騎劫挖礦的系統,會導致實際的支出。舉例來說:
- 使用服務台並花費 IT 的時間追蹤效能問題,以及更換組件或系統以尋求解決問題。
- 增加電費支出。
有些加密貨幣挖礦腳本具備蠕蟲功能,讓它們能感染網路上的其他裝置和伺服器。這會讓辨識並移除它們變得更難。這些腳本可能也會檢查裝置是否已經被彼此競爭的加密貨幣挖礦惡意軟體感染。如果偵測到其他加密貨幣礦工,腳本就會停用它。
在加密貨幣挖礦的早期階段,有些網路發行者會試圖將流量變現:他們會請求來訪者的許可,以便來訪者在停留於其網站上時,他們能挖礦取得加密貨幣。他們將此視為公平交易:來訪者能獲得免費內容,而網站能利用他們的電腦挖礦。例如,在遊戲網站中,使用者可能會待在網頁上一段時間,此時 JavaScript 代碼就能挖礦取得錢幣。而當他們離開網站,加密貨幣挖礦就會結束。如果網站對這種做法足夠坦誠,就不會有什麼問題。對使用者來說,難點在於如何得知網站是否誠實。
惡意版本的加密貨幣挖礦(如騎劫挖礦)不會尋求許可,而且還會在您離開初始網站許久後仍然持續運作。這種技術會被可疑網站的持有者或侵入合法網站的駭客使用。使用者無從發現自己造訪的網站會使用他們的電腦挖礦取得加密貨幣。這種代碼只會使用剛剛好的系統資源以確保自己不會被發現。儘管使用者認為可見的瀏覽器視窗已經關閉,但隱藏的視窗還開著。它通常是個背投廣告,大小剛好可以藏在工作列下方或時鐘後面。
騎劫挖礦甚至能感染 Android 行動裝置,使用的手法與針對桌上型電腦時相同。有些攻擊會透過隱藏在已下載應用程式中的木馬程式發生。使用者的電話也可能被重定向至被感染的網站,並留下持續存在的背投廣告。儘管個人的電話只有相對有限的處理能力,當攻擊大量發生時,它們集結在一起也能提供足夠的算力,讓騎劫挖礦者的努力變得值得。
騎劫挖礦攻擊:範例
騎劫挖礦的著名範例包括:
- 2019 年,8 個單獨的應用程式使用下載者的資源祕密挖礦取得加密貨幣,結果被 Microsoft Store 下架。這些應用程式據稱來自 3 個不同的開發者,但他們被懷疑背後是相同的個人或組織。潛在目標可能透過 Microsoft Store 關鍵字搜尋遭遇騎劫挖礦應用程式,而且它們都在熱門免費應用程式的清單上。當使用者下載和啟動其中一個應用程式,它們就會無聲無息地下載騎劫挖礦 JavaScript 代碼。礦工會啟動它們並開始挖門羅幣,用掉裝置的大量資源,從而使裝置變慢。
- 2018 年,騎劫挖礦代碼被發現隱藏在《洛杉磯時報》的「兇殺案報告」頁面。當來訪者前往「兇殺案報告」頁面,他們的裝置就會被用來挖礦取得熱門的加密貨幣門羅幣。由於這段腳本使用的運算能力非常少,許多使用者都無法察覺到他們的裝置有被侵入,其威脅在一段時間內都沒有被發現。
- 2018 年,騎劫挖礦者瞄準了歐洲供水控制系統的操作技術網路,嚴重影響了其管理廠區的能力。這是已知首次有工業控制系統遭遇騎劫挖礦攻擊的例子。就像《洛杉磯時報》的駭客攻擊那樣,礦工的目的是產生門羅幣。
- 2018 年初,CoinHive 的礦工被發現透過 Google 的 DoubleClick 平台在 YouTube Ads 上執行。
- 2018 年 7 月和 8 月期間,一次騎劫挖礦攻擊在巴西感染了超過 20 萬個 MikroTik 路由器,向大量網路流量注入了 CoinHive 代碼。
如何偵測騎劫挖礦
偵測騎劫挖礦可能很困難,因為這些程序在裝置上通常都是隱藏的或看似為慈善活動。然而,以下是 3 個需要留意的徵兆:
偵測騎劫挖礦:要留意的 3 件事
-
效能降低
騎劫挖礦的重要症狀之一就是運算裝置的效能降低。系統變慢可能是需要留意的第一個徵兆,所以只要裝置開始變慢、當機或效能異常低就要警惕。電池消耗得比平常更快是另一個潛在指標。 - 過熱的騎劫挖礦是資源密集型程序,可能導致運算裝置過熱。這可能導致電腦受損或縮短生命週期。如果筆記型電腦或電腦的風扇比平常轉得更快,就可能代表有個騎劫挖礦腳本或網站正在導致裝置升溫,而風扇正在運轉以預防熔化或起火。
-
中央處理器 (CPU) 使用率:
如果您看到 CPU 使用率上升,而您正在瀏覽的網站並沒有或只有很少的媒體內容,就可能代表有騎劫挖礦腳本正在執行。一個測試騎劫挖礦的好方法,是使用活動監視器或工作管理員確認裝置的中央處理器 (CPU) 使用率。然而請記住,相關程序可能會隱藏自己或偽裝成正規程序以妨礙您阻止濫用。同時,當電腦以最大功率運作時,它會運轉得非常緩慢,使疑難排解變得更困難。
如何保護自己避免騎劫挖礦
使用優秀的網路安全程式:
卡巴斯基全方位安全軟體等全面網路安全程式將幫助您偵測各種威脅,並提供對騎劫挖礦惡意軟體的防護。就像預防其他所有惡意軟體那樣,在成為受害者之前先安裝安全產品會好得多。為作業系統和所有應用程式安裝最新的軟體更新和修補程式也是個好習慣,特別是那些與網路瀏覽器相關的部分。
警惕最新的騎劫挖礦趨勢:
網路罪犯會持續修改代碼並推出新的感染方式,以將更新後的腳本嵌入您的電腦系統。保持主動積極並密切關注最新的網路安全威脅,能幫助您在網路和裝置上偵測到騎劫挖礦,並避免其他類型的網路安全威脅。
使用設計來封鎖騎劫挖礦的瀏覽器擴充套件:
騎劫挖礦腳本通常都是佈署在網路瀏覽器中。您可以使用專門的瀏覽器擴充套件來封鎖網路上的騎劫挖礦,例如 minerBlock、No Coin 和 Anti Miner。它們能作為擴充套件安裝在一些熱門瀏覽器中。
使用廣告攔截器:
由於騎劫挖礦腳本通常都是透過網路廣告推送,安裝廣告攔截器會是阻止它們的有效方式。使用 Ad Blocker Plus 等廣告攔截器就能同時偵測並封鎖惡意騎劫挖礦代碼。
停用 JavaScript:
在網路瀏覽時停用 JavaScript 能預防騎劫挖礦代碼感染您的電腦。然而,雖然這麼做能中斷路過式騎劫挖礦,這也可能妨礙您使用需要的功能。
封鎖已知會推送騎劫挖礦腳本的頁面:
想在造訪網站時預防騎劫挖礦,請確保您造訪的每個網站都在經過仔細審查的白名單上。您也可以將已知從事騎劫挖礦的網站列入黑名單,但這仍有可能讓您的裝置或網路暴露於新的騎劫挖礦頁面。
騎劫挖礦看來可能只是相對無害的犯罪,畢竟唯一「被偷」的只是受害者電腦的算力。但這種犯罪行為在使用電腦算力時並未經過受害者的知情或同意,且其目的是非法創造貨幣。我們建議您依照良好網路安全做法來盡量降低風險,並在所有裝置上安裝可信的電腦安全產品或網路安全產品。
卡巴斯基安全軟體在 2021 年榮獲了兩項 AV-TEST 獎項,分別是網路安全產品最佳性能和保護。在所有測試中,卡巴斯基安全軟體都表現出對網路威脅的出色性能和保護。
推薦產品
