/Business

Über 500 Millionen Nutzer schürfen unwissend nach Kryptowährungen

Michael Förtsch 23.10.2017

Zahlreiche Websites nutzen Skripte, die die Besucher nach Kryptowährungen schürfen lassen. Oftmals, ohne sie darüber zu informieren. Ein Werbeblock-Entwickler und ein IT-Sicherheitsunternehmen haben nun ermittelt, wie groß das Problem mittlerweile ist.

Mitte September hatte die Torrent-Seite The Pirate Bay zahlreiche Besucher verunsichert. Wie Nutzer bemerkten, stieg die Auslastung ihrer Computer beim Öffnen der Website. Im Hintergrund zapfte nämlich der JavaScript-Miner CoinHive die CPU-Leistung an, um die Kryptowährung Monero zu schürfen. Erst im Nachhinein erklärten die Betreiber, dass es sich um einen Testlauf gehandelt habe. Derartige Miner könnten sich nämlich als Alternative oder Erweiterung zu klassischer Werbung erweisen. Daher lassen sich solche Mining-Skripte derweil auf zahlreichen Websites finden. Die Entwickler des Werbeblock-Spezialisten Adguard nahmen das zum Anlass, um auszuloten, wie akut das Phänomen bereits ist.

„Wir haben uns entschieden, uns das Problem anzuschauen“, schreibt Andrey Meshkov von Adguard. „Wir wollten seine Ausmaße und Auswirkungen verstehen.“ Dafür zog das Team die Liste der 100.000 meistbesuchten Websites der Webanalyse Alexa heran. Diese überprüften die Entwickler auf die Einbindung von Skripten wie CoinHive, JSEcoin, CryptoLoot und MineMyTraffic. Das sind die derzeit beliebtesten Dienste, um auf fremden Computern eine Kryptowährung berechnen zu lassen – ob auch quasi identische Kopien wie der chinesische Service Ppoi erfasst wurden, ist leider unsicher. Auf 220 Seiten der Top-Liste sei Adguard fündig geworden.

Dabei handelt es sich zumeist um Websites mit eher zweifelhaftem Ruf – aber nicht nur. Darunter sind legale wie illegale TV- und Videostreamingdienste, Filesharing-Angebote, Erwachsenenportale und auch Nachrichten- und Medienseiten – von denen manche die Skripte mittlerweile entfernt haben. Die stammen zuvorderst aus den USA, China, Südamerika, einigen EU-Ländern, Russland, Indien, Iran und weiteren. „220, das klingt nach nicht viel“, schreibt Meshkov. „Aber CoinHive ist erst vor einem Monat gestartet, am 14. September.“

Basierend auf der Reichweite der betroffenen Websites würden die Skripte monatlich zusammengenommen rund eine halbe Milliarde Besucher zu unfreiwilligen Krypto-Goldgräbern machen. Für die Betreiber wäre das ein nicht zu unterschätzendes Geschäft. Im Durchschnitt könnten die Angebote – so die Hochrechnung von Adguard – rund 43.000 US-Dollar im Monat erwirtschaftet haben. „Das sind keine Millionen“, sagt Meshkov. „Aber das Geld wurde in drei Wochen ohne eigene Kosten generiert.“

Dabei ist die Adguard-Studie offenbar nur die Spitze des Eisbergs. In einem Experiment, das sich teilweise mit den Erkenntnissen von Adguard überschneidet, scannten die Sicherheitsdienstleister von Palo Alto Networks den Traffic ihrer Kunden über eine Woche hinweg nach Mining-Skripten. Sie identifizierten dabei 35.119 einzigartige URLs, die das CoinHive-Skript coinhive.min.js integriert haben. Zwischen 6000 und 10.000 der Seiten wären täglich im Traffic-Strom aufgetaucht. Bei einigen Websites sind die Sicherheitsforscher recht sicher, dass diese gehackt und die Skripte in den Quellcode eingeschleust wurden.

Ebenso zeigten sich in der Auflistung aber auch unzählige Seiten mit bizarren Nonsense-URLs wie pudptxanhspld.bid. Wobei die Palo-Alto-Networks-Mitarbeiter davon ausgehen, dass diese zu einem weitläufigen Verbund gehören. Nutzer würden wohl unfreiwillig auf diese Seiten weitergeleitet. Beispielsweise könnten sie als Pop-up-Werbung geöffnet werden oder auf anderen Seiten als iFrame oder Werbebanner eingebunden sein. Dadurch ließen sich bekannte oder gar seriöse Websites kapern und die CPU-Leistung der Nutzer anzapfen, ohne dass die eigentlich angesteuerte Seite ein Mining-Skript fährt.

Besonders bemerkenswert für das Team von Palo Alto Networks war, dass offenbar keine einzige der entdeckten Websites einen Hinweis auf das Krypto-Mining angezeigt oder gar eine Zustimmung zur Aktivierung der Skripte verlangt hätte. Dabei hatten zumindest die CoinHive-Entwickler nach der überraschend schnellen Verbreitung – die Website Who runs CoinHive listet mittlerweile fast eine Million Websites – angekündigt, dass Nutzer zukünftig erst ihr Okay geben sollten, bevor das Skript seine Arbeit aufnimmt. Wie das ausschauen soll, das zeigt immerhin schon authedmine.com.

Zahlreiche Werbeblocker warnen daher vor Mining-Skripten oder stoppen diese automatisch. Ebenso haben Content-Delivery-Anbieter wie Cloudflare begonnen, Websites wie ProxyBunker zu sperren, die ihre Besucher ungefragt Kryptowährungen schürfen lassen. Laut Cloudflare wären Krypto-Miner eine Art von Malware und deswegen nicht akzeptabel. Daher bietet CoinHive mittlerweile auch Alternativen zum dauerhaft laufenden Mining-Skript. Darunter sind bislang schon Shortlinks und Captchas, die die Nutzer erst weiterleiten, nachdem sie mit expliziter Zustimmung eine gewisse Anzahl Hashes für den Betreiber berechnet haben.