瀏覽即挖礦,黑客總能找到各種奇怪的資源來牟利
一般網站的主要收入來源是廣告,如果沒有人點擊廣告,就等於沒有收入。尤其是一些內容流量網站,就靠廣告活着。但是廣告能給網站帶來的收入畢竟有限,窮則思變,有些網站因此盯上了虛擬貨幣。全球排名前 1 萬的網站中,有 2.2% 的網站正在做這種損人利己的勾當。
BlockBeats 做了個統計,截止 7 月 9 日,全網有超過 3 萬家網站內置了挖礦代碼,只要用戶打開網站進行瀏覽、操作,網站就會調用電腦或手機的計算資源來進行挖礦。根據 Adguard 的數據統計,全球約有 5 億臺設備曾被綁架挖礦。
流量小一點的網站,每天可以獲得幾美元的額外收入,多的可以達到數千美元。而代價就是犧牲瀏覽網站的用戶的電腦性能和能源,換取門羅幣。
瀏覽即挖礦,如果你在上網的時候覺得自己的電腦和手機莫名其妙地發燙,那麼你可能就要警惕一下了。
門羅幣
幾乎所有的瀏覽挖礦代碼挖的都是門羅幣。
門羅幣採用 Cryptonight 的挖礦算法,這種算法對於 CPU 很友好,非常適合在普通電腦上運行。於是乎,就有開發者打起了歪主意。
他們利用 JavaScript 編寫代碼,當用戶的電腦或手機載入某個網站的時候,也會載入挖礦代碼。據最大的門羅幣挖礦代碼提供商 Coinhive 提供的數據顯示,他們的代碼運行效率約等於門羅幣礦機的 65%,未來還有一定的提升空間。
雖然在訪問網站的時間內,用戶只能貢獻一點點算力,但是積少成多,訪問量越大越賺錢。多家挖礦代碼提供商都有計算器供開發者預測收入,如果你的網站每天都有 10 個~20 個用戶訪問的話,每天可以收入 0.3 個 XMR,折價約 270 元人民幣,每個月可以得到 8100 元的收入。
白來的收入,何樂而不爲呢?於是不少本來廣告收入就不多、又沒有其他盈利模式的網站,開始偷偷地在網站上運行挖礦代碼。
著名的 BT 資源下載網站海盜灣,近日被曝光網站內置了門羅幣的挖礦代碼。在海盜灣的網站上非常霸道地寫着:“只要進入海盜灣網站,你就同意我們使用你的 CPU 進行門羅幣挖礦。如果你不同意,你可以立刻離開或者安裝 adblocker。”但是這段話,只能在海盜灣網站頁面最底部的位置才能看到,而且還被特意調成了小字號。
也就是說,在不知情的情況下,哪怕你只是打開海盜灣看看有沒有資源更新,你電腦 CPU 佔用也會瞬間飆到 100%,爲海盜灣網站創收提供算力,直到你關掉網站。
色情網站很危險!
據瞭解,被植入挖礦代碼的網站中,有 68% 爲色情網站。如果你有瀏覽色情網站的習慣,那你也應該注意一下,因爲不少色情網站爲了增加收入也會加入挖礦代碼。
除了網站所有者自行添加挖礦代碼之外,還有黑客黑入其他網站服務器在代碼中惡意植入挖礦木馬的情況。
此外,還有不少遊戲外掛的開發者也會在外掛中植入挖礦木馬,讓很多貪小便宜、貪圖享受的用戶中招。除了電腦端,在 Android 手機端也出現了大量包含挖礦木馬的 App。360 安全實驗室今年 1 月份的數據顯示,全網有 400 多種挖礦木馬在流行,佔 Android 木馬總量的 1/3。
如何防範
如果擔心自己的瀏覽網頁的時候電腦被利用去挖礦,該怎麼辦?
首先要感謝那些開發安全軟件的廠商。但是大家也知道,使用安全軟件需要付出代價,那就是必須接受安全軟件中內置的“全家桶”。
當然,還要應該感謝那些有良心的開發者,他們正在幫助你。
如果你正在使用的是 Chrome 瀏覽器或者基於 Chrome 內核的瀏覽器,可以安裝 Adblock、Adblocker、ADP 等廣告攔截插件來實現惡意代碼攔截。比如 AdBlocker 在去年網頁挖礦最氾濫的那段時間更新了算法,在插件中加入了挖礦代碼攔截,而且 AdBlocker 可以免費使用。
如果你使用的是火狐瀏覽器,那麼可以安裝 NoScript 插件來限制 JavaScript 的運行,將挖礦代碼擋在門外。
最後要感謝自己,感謝潔身自好的自己不去瀏覽一些奇奇怪怪的、令人興奮的、助你上天入地的網站。