Co to jest cryptojacking i jak się przed nim bronić?

Programy do kopania kryptowalut działają w tle bez wiedzy i zgody właścicieli urządzeń. To oznacza, że sprzęt, na którym czytasz ten artykuł, może właśnie zużywać swoją moc obliczeniową na coś, o czym nie masz pojęcia.

Ale bez paniki! Choć cryptojacking jest dość częstym zagrożeniem w Internecie, nie jest całkowicie niewykrywalny i nie każdy musi paść jego ofiarą. Warto jednak mieć świadomość tego, że istnieje taka forma cyberprzestępstwa.

Złośliwe wydobycie krypto zużywa moc obliczeniową urządzenia, generując spore koszty i problemy, między innymi:

• wzrost rachunków za energię elektryczną,
• spadek wydajności sprzętu,
• szybsze zużycie podzespołów i częstsza konieczność ich naprawy lub wymiany.

Żeby zrozumieć, czym dokładnie jest cryptojacking, warto najpierw zrozumieć samą ideę wydobywania kryptowalut.

Kryptowaluta to coś w rodzaju „cyfrowego pieniądza”. Nie jest to jednak to samo, co tradycyjna gotówka przelana na konto bankowe i wykorzystywana za pośrednictwem bankowości elektronicznej. Kryptowaluty w ogóle nie istnieją w świecie fizycznym, lecz są całkowicie wirtualne, a ich posiadanie jest „umowne”.

Pojęcie „kryptowaluta” jest związane z technologią blockchain, czyli łańcuchem bloków. Blockchain to transparentna i zdecentralizowana (rozproszona w sieci) baza danych przechowująca informacje o zasobach i transakcjach krypto. Składa się z powiązanych ze sobą bloków, a każdy z nich jest zbudowany na podstawie poprzedniego i zawiera dane, których nie można zmienić ani usunąć.

Bloki w blockchainie mają ograniczoną pojemność, a popularne kryptowaluty nie zostały jeszcze do końca „odkryte”. Na przykład znany wszystkim Bitcoin ma jeszcze około 2 miliony monet, które można „wydobyć”, czyli przyłączyć do blockchaina.

Kopanie kryptowalut polega zatem na rozwiązywaniu skomplikowanych działań matematycznych w celu zatwierdzenia nowego bloku i przyłączenia go do łańcucha. Ten, kto znajdzie rozwiązanie problemu, otrzyma nagrodę w postaci jednostek kryptowaluty.

Problem w tym, że operacje te są naprawdę złożone. Do rozwiązania jednego takiego problemu kryptograficznego nie wystarczy jeden domowy komputer (nawet z wyższej półki). „Koparki” działające na całym świecie to zaawansowane i drogie sprzęty o wielkiej mocy obliczeniowej, pobierające przy okazji ogromne ilości energii elektrycznej.

Kopanie krypto w domowych warunkach jest obecnie zupełnie nieopłacalne, a nawet profesjonalne koperki zaczynają generować więcej strat niż zysków. Powodem są między innymi rosnące koszty energii.

Co jeśli ma się do swojej dyspozycji całą armię cudzych komputerów? Na tym właśnie polega cryptojacking. Osoby wydobywające krypto w ten sposób infekują komputery złośliwym oprogramowaniem wykonującym obliczenia. Mogą rekrutować tysiące takich urządzeń i korzystać z ich łącznej mocy obliczeniowej.

Jak więc dokładnie działa cryptojacking?

Po pierwsze, aby ktoś padł jego ofiarą, musi dojść do zainfekowania sprzętu złośliwym oprogramowaniem. Hakerzy wykorzystują tutaj różne metody, na przykład:

• Fałszywe wiadomości. Phishing jest bardzo popularną metodą służącą zarówno do wykradania danych, jak i rozsyłania złośliwych linków. Oszuści mogą podszywać się pod inne osoby i nakłaniać ofiary do klikania odnośników lub otwierania załączników zawierających malware.
• Linki w mediach społecznościowych. Fora, grupy społecznościowe, a nawet aplikacje randkowe także bywają niebezpieczne. Niektórzy hakerzy są w stanie poświęcić dużo czasu i energii, by zdobyć zaufanie drugiej osoby i nakłonić ją do nieświadomego dołączenia do swojej „armii” koparek.
• Witryny internetowe. Hakerzy wykorzystują też metodę zwaną „drive-by mining”, która polega na infekowaniu stron internetowych złośliwymi kodami. Po odwiedzeniu witryny, kod uruchamia się automatycznie i infekuje urządzenie.
• Dołączanie koparek do innego złośliwego oprogramowania. Istniejący malware może zostać zmodyfikowane tak, by dodatkowo wydobywać krypto bez wiedzy użytkownika. Haker w ten sposób piecze dwie pieczenie na jednym ogniu – zyskuje moc obliczeniową do kopania, a dodatkowo – na przykład – wykrada cudze dane.
• Posługiwanie się trojanami i fałszywymi aplikacjami. Hakerzy mogą oferować bezpłatne „programy” będące tak naprawdę tylko atrapami ukrywającymi oprogramowanie kopiące kryptowaluty. Aplikacje te zazwyczaj działają normalnie i nie budzą podejrzeń, ale skrywają złośliwy kod działający w tle.

Cryptojacking różni się od innych, „tradycyjnych” metod wykorzystywania złośliwego oprogramowania. Przykładowo, programy typu ransomware natychmiast powodują szkody i informują ofiarę o swojej obecności. Celem hakera w tym wypadku jest bowiem wyłudzenie okupu.

Oprogramowanie do cryptojackingu jest pod tym względem inne. W interesie hakera jest to, żeby wirus kopiący Bitcoiny (lub inne kryptowaluty) pozostał w ukryciu jak najdłużej. Chodzi o to, by maksymalnie wykorzystać moc obliczeniową zainfekowanego urządzenia. Przypomina to działanie pasożytów w świecie przyrody.

Mogłoby się wydawać, że cryptojacking nie jest tak szkodliwy, jak wyłudzanie okupów czy wykradanie danych. Ofiara cryptojackingu jest jednak narażona na straty finansowe.

Kopanie kryptowalut pochłania znaczne ilości energii elektrycznej. Osoba, która robi to nieświadomie, może zostać zaskoczona wysokim rachunkiem za prąd. Poza tym jej komputer może się przegrzać, a w zasadzie – może dojść do przegrzania podzespołów (przede wszystkim karty graficznej) na skutek ich długotrwałej i nadmiernej eksploatacji. A warto pamiętać, że karty graficzne są obecnie dość drogie.

Złośliwe wydobywanie kryptowalut to też przyczyna spadku wydajności urządzenia. Sprzęt staje się powolny i toporny w obsłudze, a ofiara nie jest w stanie stwierdzić dlaczego. Wydaje więc pieniądze na naprawy i nowe podzespoły w nadziei, że rozwiąże problem.

Nie tylko indywidualni użytkownicy są narażeni na cryptojacking. Nie ma tu reguły. Firmowy sprzęt także może zostać zainfekowany, a gdy do tego dojdzie – przedsiębiorstwo odczuje spadek produktywności pracowników, bo urządzenia staną się mniej wydajne bez widocznej przyczyny.

Cryptojacking jest metodą, która już zapisała się na kartach historii cyberprzestępstw. Bardziej znane przykłady to:

• Coinhive. Usługa istniejąca od 2017 do 2019 roku. Miała oferować właścicielom witryn legalny sposób na zarabianie na odwiedzaniu stron. Właściciel wprowadzał na witrynę skrypt uruchamiający się na urządzeniu użytkownika i wydobywający kryptowalutę Monero. Dzięki temu właściciele mogli uniezależnić się od dochodów z reklam, ale usługa szybko zaczęła stanowić synonim wykorzystywania odwiedzających do zarabiania bez ich wiedzy.
• FaceXWorm. FaceXWorm to robak komputerowy rozprzestrzeniany za pośrednictwem usługi Facebook Messenger. Ofiara najpierw otrzymuje od znajomego link do platformy YouTube, który w rzeczywistości prowadzi do fałszywej witryny. Po jej otwarciu pojawia się prośba o zainstalowanie wtyczki w przeglądarce Chrome. Wtyczka ta korzysta z konta na Facebooku ofiary i wysyła fałszywe linki do jej znajomych. W ten sposób robak się rozprzestrzenia, zamykając cykl. Poza wtyczką, FaceXWorm instaluje oprogramowanie wydobywające krypto na urządzeniu ofiary.

Jak widać, sposoby na „nabycie” oprogramowania do cryptojackingu są różne. Na szczęście w większości przypadków wystarczy zdrowy rozsądek i aplikacje anty-malware, by się przed nim uchronić.

Oprogramowanie do złośliwego wydobywania krypto działa w tle. Nie jest więc łatwo zorientować się, że coś jest nie tak. Jak wspomnieliśmy wcześniej, jego działanie jest podobne do pasożytnictwa w naturze. W interesie hakera jest to, by ofiara jak najdłużej pozostawała nieświadoma.

Jest jednak kilka symptomów, które mogą wskazywać na to, że ktoś kopie Bitcoiny lub inne kryptowaluty na Twoim urządzeniu. Oto one:

• Przegrzewanie. Sprzęt kopiący kryptowaluty wykonuje skomplikowane obliczenia, które podnoszą jego temperaturę (i przyczyniają się do szybszego zużycia). Warto obserwować wentylatory komputera, a w przypadku smartfonów – sprawdzać przez dotyk, czy nie są podejrzanie gorące.
• Spowolnienie sprzętu. Urządzenie zainfekowane programem do cryptojackingu zużywa część mocy obliczeniowej na kopanie. W związku z tym wszystkie inne operacje są wykonywane wolniej niż zwykle. Sprzęt może często się zawieszać, a w przypadku urządzeń mobilnych – może dochodzić do szybkiego wyczerpywania się baterii.
• Wysokie zużycie podzespołów. Podejrzanie wysokie wykorzystanie procesora także może świadczyć o tym, że coś – np. koparka – działa w tle. Procent wykorzystania podzespołów w systemie Windows można łatwo sprawdzić w zakładce Wydajność w Menadżerze zadań.
• Wyłączanie się i częste blue screeny. Urządzenie zainfekowane oprogramowaniem do cryptojackingu może wyłączać się, samoczynnie restartować albo wyświetlać tzw. blue screeny wskutek zużycia nadmiernej mocy obliczeniowej i uniemożliwiania przeprowadzania innych operacji.

Koparki Bitcoinów uruchamiające się w przeglądarce internetowej zazwyczaj powodują podobne objawy do tych, które infekują urządzenia – przegrzewanie, spadek wydajności, spowolnienie itp. Co więcej, skrypty „nie chcą” dać się zamknąć.

W Menadżerze zadań sprawdzisz, czy przeglądarka jest wciąż aktywna po tym, jak ją wyłączysz. Zainfekowane przeglądarki bardzo często wciąż działają w tle wbrew woli użytkownika.

Jak jeszcze można sprawdzić, czy nie jest się ofiarą cryptojackingu?

Istnieją narzędzia pozwalające przeprowadzić swoisty „cryptojacking test”. Podstawowym z nich jest wspomniany Menadżer zadań. Monitorowanie procesów zachodzących na komputerze i zużycia podzespołów to dobra metoda na zorientowanie się, czy ktoś nie kopie Bitcoinów czy Ethereum na Twoim urządzeniu.

Dobrze jest też zaopatrzyć się w oprogramowanie monitorujące temperaturę panującą na poszczególnych podzespołach. Dzięki temu łatwo zauważyć, czy nie dzieje się z nimi coś niepokojącego. Koparki krypto działające w tle często powodują, że procesory i karty graficzne nadmiernie nagrzewają się mimo tego, że pozornie są w stanie bezczynności.

Przede wszystkim jednak warto zaopatrzyć się w porządne oprogramowanie antywirusowe i anty-malware. Tego typu programy uruchamiają się na urządzeniu we wczesnych etapach rozruchu i są w stanie wykryć złośliwe oprogramowanie, zanim ono samo zacznie działać.

Aplikacje anty-malware mają również często wbudowane bazy danych potencjalnie szkodliwych stron. To znaczy, że ostrzegą Cię, jeśli spróbujesz wejść na witrynę znaną z przemycania użytkownikom złośliwych kodów do cryptojackingu.

Usunięcie niechcianej koparki Bitcoinów lub innych kryptowalut bywa trudne. Jeśli problemem jest tylko przeglądarka i wtyczki, można spróbować ją odinstalować i zainstalować ponownie „na czysto”. Jeśli infekcja jest „głębsza”, konieczne będzie użycie oprogramowania antywirusowego i anty-malware, a w skrajnych przypadkach – sformatowanie dysku w celu pozbycia się wszystkich danych.

Właśnie dlatego tak istotna jest prewencja. Jako że usuwanie złośliwego oprogramowania czasem bywa skomplikowane, lepiej po prostu nie dopuścić do infekcji. Oto kilka wskazówek dla użytkowników komputerów:

• Zachowaj zdrowy rozsądek. Przede wszystkim pamiętaj, że ofiary cryptojackingu często same bezwiednie pobierają programy do kopania kryptowalut na swoje urządzenia. Wystrzegaj się więc spamu i podejrzanych wiadomości. Nie klikaj odnośników, jeśli nie masz pewności, dokąd prowadzą ani nie otwieraj nieznanych załączników.
• Zaopatrz się w oprogramowanie anty-malware. Dobrej jakości programy antywirusowe i antymalware mogą pomóc Ci uniknąć wielu zagrożeń, w tym związanych z cryptojackingiem. Przykładem jest choćby NordVPN. Choć aplikacja służy przede wszystkim jako usługa VPN, to wbudowana w nią funkcja Threat Protection blokuje niechciane skrypty na stronach internetowych i skanuje pobierane pliki pod kątem zagrożeń.
• Nie pobieraj podejrzanych plików. Gry, muzyka czy filmy za darmo są kuszące, jednak bardzo często stanowią tylko przykrywkę dla hakerów. „Darmowe” aplikacje często zawierają złośliwe kody, w tym koparki Bitcoinów i innych walut.
• Aktualizuj system i oprogramowanie. Aktualizacje zawierają łatki i poprawki naprawiające luki bezpieczeństwa przeoczone przez programistów. Nie pomijaj ich – z tych luk korzystają również hakerzy.
• Obserwuj temperaturę podzespołów i aktywność w tle. Raz na jakiś czas nie zaszkodzi sprawdzić, jakie procesy zachodzą w tle i jak wygląda zużycie podzespołów. Poznaj swój komputer – sprawdź, jakie temperatury osiąga w spoczynku, a jakie podczas korzystania z sieci czy grania w gry. Dzięki temu zauważysz, jeśli wartości te zaczną odbierać od normy.

A co ze smartfonami i urządzeniami mobilnymi? One też mogą zostać zainfekowane.

• Zainstaluj oprogramowanie antywirusowe. Programy antywirusowe są także dostępne na systemy mobilne.
• Uważaj, co pobierasz i instalujesz. Nie wszystkie aplikacje w sklepach mobilnych są bezpieczne. W zasadzie dość często zdarza się, że hakerzy umieszczają w nich atrapy – kopie użytecznych programów „wzbogacone” o złośliwy kod. Zanim coś pobierzesz, poznaj opinie i komentarze innych użytkowników.

Cryptojacking to poważny problem, ale nie znaczy to, że nie da się przed nim bronić. Choć nie powoduje tak poważnych strat jak np. ransomware, ofiary i ich sprzęty są wykorzystywane wbrew swojej woli. Przestrzeganie dobrych praktyk i korzystanie z bezpiecznych narzędzi pomoże Ci zachować ochronę.