三万网站含挖矿代码:你上网可能就在帮黑客挖矿

| 作者:0x2

| 欢迎添加作者微信qkldlinda与他进行交流!

本文由腾讯新闻、区块律动 BlockBeats 共同出品,作者系区块律动 BlockBeats 0x2,腾讯新闻同步首发。

一家网站的主要收入来源是广告,如果没有人点击广告,就等于没有收入。尤其是一些内容流量网站,就靠着广告活着。

但是广告能给网站带来的收入毕竟有限,穷则思变,他们开始盯上了虚拟货币。全球排名前1万的网站中,有2.2% 的网站正在做这种损人利己的勾当

区块律动 BlockBeats 统计,截止 7月 9 日,全网有超过 3 万家网站内置了挖矿代码,只要用户打开网站进行浏览、操作,网站就会调用电脑或手机的计算资源来进行挖矿。根据 Adguard 的数据统计,全球约有 5 亿台电脑曾被绑架挖矿

流量小一点的网站,每天可以获得几美元的额外收入,多的可以达到数千美元。而代价就是牺牲网站用户的电脑性能和能源,换取门罗币。

浏览即挖矿,如果你在上网的时候觉得自己的电脑和手机莫名其妙地发烫,那么你就要考虑是不是已经被网站利用来挖矿了。

浏览即挖矿,黑客总能找到各种奇怪的资源来牟利

几乎所有的浏览挖矿代码挖的都是门罗币。

门罗币采用的是 Cryptonight 的挖矿算法,这种算法对于 CPU 很友好,非常适合在普通电脑上运行。于是乎,就有开发者打起了歪主意。

他们利用 javascript 编写代码,当用户载入某个网站的时候,也会载入挖矿代码。据最大的门罗币挖矿代码提供商 Coinhive 的数据显示,他们的代码运行效率约等于门罗币矿机的 65%,未来还有一定的提升空间。

虽然在访问网站的时间内,用户只能贡献一点点的算力,但是积少成多,访问量越大越赚钱

多家挖矿代码提供商都有计算器供开发者预测收入,如果你的网站每天都有 10-20 用户访问的话,每天可以收入 0.3 个 XMR,约 270 块人民币,每个月可以得到 8100 元的收入。

白来的收入,何乐而不为呢?于是乎不少本来广告收入就不多、又没有其他盈利模式的网站开始在网站上运行挖矿代码。

著名的 BT 资源下载网站海盗湾,近日被爆出网站内置了门罗币的挖矿代码。在海盗湾的网站上非常霸道地写着,「只要进入海盗湾网站,你就同意我们使用你的 CPU 进行门罗币挖矿。如果你不同意,你可以立刻离开或者安装 adblocker」。

这段话,只能在海盗湾网站最底端的位置才能看到,而且还被特意调成了小字号。

也就是说,哪怕你只是打开海盗湾看看有没有更新什么资源,你的电脑 cpu 占用也会瞬间飙到 100%,为海盗湾网站创收提供算力,直到你关掉网站。

据了解,被植入挖矿代码的网站中,有 68% 的网站为色情网站。如果你有浏览色情网站的习惯,那你也应该注意一下,因为不少色情网站为了增加收入也会加入挖矿代码。

当你的双手在飞舞颤抖的时候,是否发现自己的电脑已经变得滚烫,或许你根本就没有发现,因为你正在沉迷于别的事情。

除了网站所有者自行添加挖矿代码之外,还有黑客黑入其他网站服务器在代码中恶意植入挖矿木马的。比如上个月高考结束之后,不少高校的网站都被爆出被黑客入侵,考生在查询考试成绩的时候就要为黑客做贡献。

因为查分网站都有分数公开的时间,大量考生都会开着网页等待放榜,所以这类网站比其他博客之类的网站更受欢迎。上个月底,腾讯御见威胁情报中心检测到山东、湖北、河南、黑龙江等多所重点大学的官网被植入挖矿木马

此外,还有不少游戏外挂的开发者也会在外挂中植入挖矿木马,让很多贪小便宜、贪图享受的用户中招。

除了电脑端,在 Android 手机端也出现了大量包含挖矿木马的 App。360 安全实验室今年 1 月份的数据显示,全网有 400 多种挖矿木马在流行,占 Android 木马总量的 1/3。

网页挖矿劫持服务商,完善的黑产体系

有需求,就有服务,挖矿代码和挖矿木马背后其实有一整个完整的产业链,而且服务非常完善。

打开网页就进行挖矿,其实这个功能不是网站开发者自己开发的,他们使用的都是网页挖矿服务商提供的接口。开发者只需要在网页代码中插入那么一串代码,就可以坐享收入。

网页挖矿服务商给网站开发者提供了各式各样的挖矿服务,比如验证码挖矿、短链接接入、静默挖矿等,只要你敢来瞬间可以占用你 100% 的电脑资源

任何产品都有迭代的空间,于是乎,CoinHive 这样的网页挖矿服务提供商也在不断地进化他们的产品,让网站开发者可以更好地隐藏利用用户电脑挖矿的事实,为用户提供更好的服务。

例如,许多网站为了防止垃圾评论,都会采取点击验证码的方式拦截机器人。CoinHive 就提供了类似的反作弊模块,当用户在点击这个按钮的时候就会开启网页挖矿,在验证完成之后,挖矿停止。

如果用户真的有意愿等待发帖或者登陆,是完全能够接受这十几秒的验证时间的,但代价就是十几秒内电脑 CPU 火力全开去挖矿,瞬间升温几十度

CryptoLoot 还提供静默挖矿功能,可以在用户完全没有察觉的情况下就运行挖矿代码。在 CryptoLoot 的网站上,他们把静默挖矿标榜为自己的一个特色功能,可实现安静不打扰。呵,还真是贴心呢。

挖到矿后就可以开始算钱了,挖矿代码提供商几乎可以为开发者进行即时结算。他们每 2 个小时就可以进行一次分账,在完成抽成之后,可以直接向开发者的钱包里转账门罗币,当然也能以人民币、美元等法币进行提现。

提供商实现了从头到尾的全方面服务,只为网站开发者和黑客提供更好的服务和更高的收入。

但是要知道,这样的行为是违法的

无论是在国内还是国外,未经用户允许便擅自占用用户的计算资源,可以被定义为是木马病毒。按照先关法律法规,这是违法行为,构成犯罪的还将追究刑事责任。

知名网站都不会用这种卑鄙的手段来获取利益,只有我们上面提到的几种类型的、本身就已经违法的网站才会做这种事情。

无论是挖矿代码提供商还是网站开发者,都明白偷用户电脑资源来挖矿是一件不光彩的事情,所以代码提供商会毫不留情地从挖矿所得中抽走 30%,对于这种大额抽成,网站所有者也欣然接受

据 PC Magazine 网站预测,CoinHive 一年的抽成收入就可以达到 500 万美元,他们所服务的网站和黑客一年可以产生高达 1 亿人民币。

CoinHive 目前服务 75% 的网页挖矿网站,再加上其他服务商覆盖的网站,整个行业每年盗用用户电脑挖矿的收入可以达到 1.5 亿人民币

担心电脑被用去挖矿,怎么办?

首先要感谢国家,因为你生在中国,有腾讯电脑管家和 360 安全卫士这种东西「保护」你,但是代价是要接受他们的全家桶服务。

接下来要感谢有良心的开发者,他们正在帮助你。

如果你正在使用的是 Chrome 浏览器,或者基于 chrome 内核的浏览器,都可以安装 Adblock、Adblocker、ADP 等广告拦截插件来实现恶意代码拦截。比如 AdBlocker 在去年网页挖矿最泛滥的那段时间就更新了算法,在插件中加入了挖矿代码拦截,用户可以免费使用这些拦截插件。

如果你使用的是火狐浏览器,那么可以安装 noscript 插件来限制 Javascript 的运行,将挖矿代码挡在门外。

最后要感谢自己,感谢洁身自好的自己不去浏览一些奇奇怪怪的、令人兴奋的、助你上天入地的网站

相关推荐
新闻聚焦
猜你喜欢
热门推荐
  • 中国科技巨头都在扎堆研究这项技术 一旦突破将出现颠覆式巨变

      10月17日报道 港媒称,量子计算领域近期异常热闹,中国各大科技企业都已进军量子计算领域。记者梳理发现,近日,华为发布了HiQ模拟器;刚结束的云栖大会,阿里巴巴集团CTO张建锋......

    10-17    来源:参考消息

    分享
  • 正充电的手机自动订了总统套房 专家:不要在不可信的地方充电

      深夜,平放在桌上的苹果手机正在充电,竟然自动点开了携程APP,浏览起了酒店客房,看起了评价,还订了一间总统套房,而这一切都是手机自动完成的,仿佛有一个无形的人在操控。......

    10-08    来源:株洲晚报

    分享
  • 全球市值最高十大科技公司:中美两国巨头领跑

      在考虑世界上规模最大,最有价值的公司时,许多人会本能的将眼光投向科技行业,自从互联网的繁荣发展,众多科技公司就以其巨大的市场份额和颠覆传统产业的能力而闻名。 上市公......

    10-11    来源:环球网

    分享
  • 中国仍然依赖韩国存储芯片 去年进口达886亿美元

      韩国贸易协会、大韩贸易投资振兴公社及半导体行业周四发布的数据显示,2017年中国存储芯片进口总额达886.17亿美元,同比增长38.8%。 其中,韩国产芯片的进口规模达463.48亿美元,同比......

    09-11    来源:环球网

    分享
  • 从微信打不开淘宝链接说起:看中国互联网生态战

      9月9日消息,据国外媒体报道,与西方同行不同的是,中国大科技企业专注于构建一个具有更高壁垒的封闭生态系统。中国互联网的竞争不再是单个科技公司的竞争,而是越来越多的生......

    09-10    来源:网易

    分享
  • 美国补贴13亿美元:Intel/Google等大战量子计算

      近日,美国科学和技术政策局组织了一场白宫峰会,与多家科技企业、科研机构、美国政府机构共同探讨量子信息科学的发展。 据了解, Intel、Google、微软、ATT等 美国科技巨头都派人......

    09-26    来源:快科技

    分享
  • 短信“半夜盗刷”该如何防范 睡觉前关机最简单

      一觉醒来,手机里多了上百条验证码,而账户被刷光还背上了贷款近期犯罪分子利用GSM劫持+短信嗅探的方式盗刷网友账户的事件成为网络热点。那么,该如何防范这种短信嗅探犯罪呢?......

    08-20    来源:北京青年报

    分享
  • 重磅!5G第一阶段标准今日发布!

      14日,全球备受关注的5G标准迎来了关键的时间节点。国际移动通信标准化组织3GPP发布了5G第一阶段的确定标准,这也意味着,这项将彻底改变未来社会的重大技术,在全面商用上迈出了......

    06-14    来源:央视新闻

    分享
  • 手机又卡又慢?几个操作让你的手机快10倍!

      智能手机的普及极大地丰富了我们生活,但同时大家对手机的依赖也越来越强。手机一旦出问题,会让人很不适应,尤其是手机卡顿,很容易让人崩溃......什么原因让手机又慢又卡?今......

    08-17    来源:黑龙江新闻网

    分享
  • 华为回应澳大利亚5G市场被禁:澳损害了民众利益

      澳大利亚政府在23日以国家安全担忧为由,禁止中国公司华为和中兴为其规划中的5G移动网络供应设备。华为澳大利亚分公司发文称,从澳大利亚政府方面得知,华为和中兴已经被禁止为......

    08-26    来源:环球网

    分享
返回列表
Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。