熱門網站遭植入程式碼 不知情大眾默默為駭客「挖礦」

徐華廷
上報

英國廣播公司(BBC)揭露,許多熱門網站遭到駭客惡意植入特殊程式碼,讓造訪這些網站的一般人民在不知不覺中幫這些駭客「挖礦」。

報導指出,許多駭客將特殊的程式碼植入各大熱門網站,包含學校、社福機構,甚至是雲端服務網站。只要民眾在造訪這些網站,駭客就能悄悄地用民眾的電腦來賺取虛擬貨幣。

駭客並非竊走民眾的虛擬貨幣,而是利用他們的電腦來協助挖礦。以比特幣(Bitcoin)為例,比特幣的交易須仰賴「礦工」以電腦進行運算,一方面確保了比特幣交易的正確性、避免雙重支付的可能,一方面則讓貨幣來源保持活動狀態,運算成功後,系統便會提供新的比特幣給礦工作為獎勵。

虛擬貨幣的網路交易平台Bitfinex。(湯森路透)

資安研究公司「趨勢科技」(Trend Micro)副總裁佛格森(Rik Ferguson)表示,挖礦的過程須要大量的電腦合作進行運算,因此駭客只要可以控制越多的電腦,他就可以賺越多的錢。

「協助挖礦的惡意軟件並不是新鮮事了」,佛格森補充,隨著既有虛擬貨幣及新推出虛擬貨幣價值的提升,惡意程式碼已經愈來越普遍。

BBC報導,資安研究員已經檢視數百萬個熱門網站的程式碼,並檢查挖礦程式碼「Coin Hive」是否存在其中。

英國廣播公司連繫了英國數間網站裝有「Coin Hive」的公司,他們大多表示不知道挖礦程式碼是由誰植入。部分公司現在已經刪掉該程式碼並且升級內部的資安政策。報導指出,網站中的程式碼如果是被刻意隱藏起來,可能代表這些程式碼是遭惡意植入。

不過「Coin Hive」本身並非非法程式,開發商表示他們已經採取行動來阻止他人的惡意使用。根據「Coin Hive」網站的資料資料,一個每月有100萬人造訪的網站如果安裝「Coin Hive」,可創造約116美元(約新台幣3531元)的挖礦收益。

「我們有一些先前的使用者將程式碼使用在他們所駭入的網站,」開發商表示:「我們已經中止了好幾個這樣的帳戶,之後如果我們發現同樣的事情,我們也會繼續這麼做。」

許多熱門網站被發現遭植入挖礦程式碼。(湯森路透)

不只是一般網站,就連雲端運算網站也可能已經淪陷。美國伊利諾大學(University of Illinois)助理教授凱薩(Prof Matthew Caesar)表示,挖礦行為也開始影響到許多提供雲端運算服務的公司。

凱薩表示,駭客只要成功駭進雲端網站,就等同於他可以掌控好幾台電腦。凱薩說道:「雲端服務所用的帳務系統(billing system)並不會顯示發生了什麼事,他們可以在系統被關閉前先侵入並造成大量的損失。」

接下來要閱讀的內容