黑客盯上YouTube

近期的數字貨幣市場可謂一波未平一波又起，日本剛剛曝出史上規模最大——5.3億美元數字貨幣被盜案，近日國外安全廠商又發現YouTube也出問題了！研究人員最近監測到虛擬貨幣的「挖礦工」人數激增，經分析後發現，原來是YouTube廣告里的 JavaScript代碼里包含了一段挖礦腳本，致使成千上萬的用戶無意間都成了挖礦苦力。

圖：YouTube廣告中的包含挖礦腳本

近年來，區塊鏈技術大熱，使數字貨幣價值水漲船高，隨之而來的就是此類挖礦事件層出不窮。據360發布的國內首份區塊鏈安全報告《2017年挖礦木馬報告》（以下簡稱《報告》）顯示，2017年國內披露的大規模挖礦木馬攻擊事件數量呈現了爆髮式增長，已經超過2013-2016年四年的數量之和。

圖：2013年-2017年國內披露的挖礦木馬攻擊事件

被黑客盯上的「大金礦」——YouTube訪問量數以億計

數字貨幣市場利潤巨大，許多人都想進來分一杯羹，如果購買市面上已經挖出的數字貨幣就需要支付高昂的費用，且交易存在一定的漲跌風險，比股市的風雲變幻有過之無不及，要是自己能挖出新的數字貨幣，豈不是「憑空印鈔」，坐收紅利？

但挖礦並不是一件容易的事。按照原始設計，符合某個特定規律的欄位數量是有限的，意味著可以挖出的數字貨幣也是有限的。誰有更多的算力，囤積了更多的 CPU、GPU，誰才能更快挖出更多數字貨幣。而問題在於，不是每個人都擁有一座位於偏遠山區享受廉價電費的「礦場」。

這也是為什麼一些別有用心之人想出了挖礦劫持這個主意：讓挖礦變成一個眾包的任務，用網頁偷跑挖礦程序，每個中招的人都貢獻一點 CPU，這樣一來就形成了自己的專屬挖礦基地。簡單來說，就是在網頁中植入了挖礦腳本，可以在受害者不知情的前提下，使用受害者的計算設備來挖取數字貨幣。

圖：各類網站植入挖礦腳本比例

根據360的《報告》顯示，2017年各類網站植入挖礦腳本的比例中，色情網站以近六成的佔比成為挖礦重災區。而現在，黑客們顯然已經不能滿足於色情網站帶來的流量，而是瞄準了更高瀏覽量的「大金礦」——YouTube每天都有著數以億計的訪問量，且一個視頻時長几分鐘到數十分鐘。用戶停留在YouTube網頁上的時間，遠比瀏覽一個電商產品頁面、新聞網站或博客頁面要長，挖礦效果也要好得多。由此可見，在這場浩浩蕩蕩抓壯丁當苦力的挖礦行動中，所有用戶都成為了黑客的目標。

360給出「安全錦囊」——如何防範網頁挖礦

網頁挖礦木馬與勒索病毒等網路安全威脅相比，更具隱蔽性，它們悄悄地消耗著你的計算機資源，默默為「礦主」黑客帶來數不盡的財富，然而，這些數以千萬計的財富卻與你一毛錢關係都沒有。

為了避免廣大用戶在不知不覺間，淪為挖礦苦力，360安全專家針對網頁挖礦腳本為大家支招：

1、用戶需要注意瀏覽網頁時的CPU使用率，計算機CPU使用率飆升且大部分CPU使用來自於瀏覽器，那麼網頁中可能被植入了挖礦腳本；

2、用戶可使用360安全瀏覽器，盡量減少訪問被標為高危的網站，避免受到挖礦木馬攻擊；

3、另外，專家還建議用戶安裝360安全衛士等安全軟體，及時查殺木馬，保護電腦安全。

2017年是挖礦木馬大規模爆發，隨著區塊鏈技術的不斷成熟，在2018開年之初，我們便可以看到挖礦木馬已經從隱匿的角落逐漸走向了大眾的視野。阻止挖礦木馬的興起是殺毒軟體的重要責任，而防範挖礦木馬的入侵是每一位伺服器管理員、PC用戶需要時刻注意的重點。防禦挖礦木馬，維護網路安全，仍需要安全廠商與用戶協同聯動，打好「挖礦反擊戰」。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！