特別報導

「加密綁架」與「網路挖礦」,是未來最大的資安危機

2017/10/30 ,

評論

FORTUNE

Photo Credit: Depositephotos
FORTUNE

FORTUNE

財星雜誌是商業財經媒體中的全球領導者,旗艦內容包含全球前五百大企業報導、百大最佳企業雇主。

我們想讓你知道的是

駭客與小氣的網站主正在透過綁架人們的電腦進行「挖礦」。我們所說的可不是挖取煤礦或黃玉髓等礦物,而是挖取「加密貨幣」(cryptocurrency)。

文:Robert Hackett
譯:許睿洋

讓我們一起來瞧瞧最新的網路威脅,駭客與小氣的網站主正在透過綁架人們的電腦進行「挖礦」。我們所說的可不是挖取煤礦或黃玉髓等礦物,而是挖取「加密貨幣」(cryptocurrency)。

加密貨幣的開採或產生是透過複雜數學難題的破解,就像買樂透一樣:你投注越大量的運算能力,你便越有機會贏得大獎。但有時只要一台電腦找到解答便能淘出(數位)金子。

網路挖礦的現象可能比你想像的還要普遍。據報導,美國知名廣播公司CBS旗下的Showtime付費影音服務對其觀看者的個人電腦便採用了這種挖礦技術。然而在遭網路安全研究者踢爆後,它們已於今年九月刪除此段程式碼(Showtime的發言人拒絕對《財星雜誌》進行回覆)。

同樣的挖礦程式碼隨後曾短暫地出現在足球明星克里斯提諾.羅納度(Cristiano Ronaldo)的官方網站中(無法聯絡到其發言人)。全球知名盜版網站海盜灣(The Pirate Bay)也在未知會其使用者的情況下測試這款挖礦程式。在一陣反彈聲浪後,海盜灣的網站主在一份公開聲明中表示,他們正在試驗能替代廣告收益來源的方案。產業觀察家也推測駭客在某些特定情況下會將挖礦程式碼植入知名的網站,迫使人們的電腦為他們產出虛擬貨幣。

最原始的加密貨幣──比特幣,現在則需要客製化的晶片、訂製的硬體,以及大型、集中式的伺服器農場才得以進行挖礦,這樣的要求遠超過個人電腦所能負荷的範圍。隨著更新且防止非法活動的加密貨幣不斷出現,「加密綁架」(crytpojacking)的趨勢又重新浮上檯面。

此趨勢的復甦可歸因於2014年問世的門羅幣(Monero)。這款注重隱私的電子貨幣激起了各種現成門羅幣挖礦工具的發展,如Coinhive、JSEcoin與Crypto-Loot。當這些工具被鑲嵌入網站,它們會將不特定訪客的電腦變成「加密幣礦場」──也是他們最新的收益來源。

Coinhive的發言人說:「廣告的效益已經沒有過去那麼好了,而且它們非常惱人。」Coinhive表示,自從九月它的挖礦工具問世至十月的首週,它已經產出了共3,200門羅幣(約價值288,000美元)。而安裝其挖礦工具的用戶可保有這些挖礦所得的70%,其餘的30%則會由Coinhive抽成。

以色列資安巨頭Check Point的威脅情報部門經理瑪雅.哈洛維茲(Maya Horowitz)在《財星雜誌》上獨家發表了一篇關於此迅速發展威脅的報告。她的團隊發現,數以千計的影片串流與資料共享網站都裝有如Coinhive的挖礦工具。她表示幾乎所有網站主皆未透露自己有使用這類的挖礦工具。哈洛維茲警告:「我不認為這些工具對使用者而言是安全的或是有益的。」並表示這些程式碼可能造成電腦損毀,且提供了駭客置入惡意編碼的管道。

網路安全公司Trustwave威脅情報部門經理卡爾.辛格勒(Karl Sigler)亦同意挖礦程式帶來的上述影響並提到其他受加密綁架的電腦可能有的副作用:「系統當機、資料喪失等等都會對使用者電腦的生產率造成嚴重影響。」

近期,Coinhive的新版挖礦工具提供了選擇功能,使人們得以自行決定是否允許「網路礦工」對其電腦進行挖礦。網路研究者eMarketer表示,即使獲得人們的許可,單是美國,這樣鬆散的一群人能夠顛覆價值830億美元的數位廣告市場仍是令人難以想像。同時,如果你擔心礦工會利用你的電腦來挖取門羅幣,你可以考慮下載阻擋挖礦的瀏覽器擴充程式,如minerBlock或No Coin,或使用Malwarebytes等已將此等程式碼設為黑名單的防毒軟體。

© 2017 Time Inc. 版權所有。經Time Inc.授權翻譯並出版,嚴禁未經書面授權的任何形式與語言版本轉載。

責任編輯:朱家儀
核稿編輯:翁世航

專題下則文章:

納粹逃到月球上?為什麼有這麼多人相信陰謀論?



【TIME】【FORTUNE】全球中文獨家授權:

《關鍵評論網》獨家獲得時代雜誌與財星雜誌全球中文數位版授權,將每日提供兩大媒體品牌文章的中文譯文,題材涵蓋國際政治、財經、科技、文化、歷史、生活、娛樂等各領域。

看完整特別報導