Dân Việt

Làm gì khi máy tính của bạn bị lợi dụng để “đào” trộm Bitcoin?

Hoàng Nhật 21/11/2017 06:00 GMT+7
Chỉ với một vài thao tác đơn giản, người dùng đã có thể ngăn chặn những hacker có ý định lợi dụng máy tính của người dùng để đào trộm Bitcoin. Đồng thời, giữ an toàn cho máy tính cá nhân của mình.

img

Giá Bitcoin tăng nhanh khiến nhiều hacker muốn tranh thủ máy tính người dùng để đào trộm Bitcoin

Hàng triệu máy tính có thể là nạn nhân

Thời gian gần đây, số lượng trang web bị phát hiện sử dụng máy tính của người dùng để “đào” trộm Bitcoin ngày càng nhiều. Một  nghiên cứu đã ghi nhận gần 2.500 trang web có lỗ hổng bảo mật, khai thác hệ thống máy tính người dùng khi truy cập để đào Bitcoin.

Theo BBC, đầu tháng 10.2017, hàng trăm trang web đã bị phát hiện chạy mã Coin-Hive nhằm sử dụng tài nguyên máy tính của những người truy cập vào website nhằm đào Monero - một loại tiền điện tử có giá khoảng 80 USD. Một vài website trong đó chủ động đặt mã để kiếm tiền, số còn lại bị hacker tấn công trên máy chủ lưu trữ.

Hầu hết những trang web này sử dụng nền tảng bảo mật đã lỗi thời. Người sử dụng sẽ không hề hay biết, không phát hiện ra bất cứ phần mềm mã độc nào đang chạy trên máy, dấu hiệu duy nhất là CPU của máy tính luôn hoạt động 100% công suất.

img

Công suất máy tính sẽ bị đẩy lên mức tối đa khi đào Bitcoin

Bên cạnh việc chiếm hiệu suất sử dụng CPU, các trang web này cũng tiêu tốn nhiều điện năng hơn. Bằng cách này, hacker có thể tiết kiệm chi phí điện năng và xây dựng hệ thống máy tính để thực hiện công việc đào tiền ảo.

Amazon Web Services (AWS) hiện là một nguồn mang lại số tiền khủng cho các hacker “đào” trộm Bitcoin. Theo thông tin từ Business Insider, ít nhất 2 công ty sử dụng dịch vụ AWS đã bị tin tặc tấn công, và chúng không lấy đi bất kỳ dữ liệu gì ngoài việc tận dụng các máy tính để đào tiền ảo bitcoin.

Hai công ty bị ảnh hưởng trong vụ việc là Aviva và Gemalto. Các hacker đã xâm nhập vào máy tính mà các công ty này thuê của Amazon sau khi phát hiện tài khoản quản trị không hề đặt mật khẩu. Đặc biệt, việc xâm nhập khá dễ dàng khi hacker chỉ việc sử dụng một ứng dụng đám mây được tạo ra từ công cụ lập trình mã nguồn mở Kubernetes của Google.

Được biết, Aviva và Gemalto là 2 công ty đa quốc gia có giá trị tỉ đô. Tuy nhiên, bọn hacker không quan tâm tới dữ liệu của công ty mà chỉ mượn không gian “đám mây” để đào bitcoin khi giá trị mỗi bitcoin vào thời điểm phát hiện vụ việc đang ở ngưỡng 4.300 USD.

Trước đó, RedLock cũng đã phát hiện ra những vụ việc tương tự xảy ra không chỉ với AWS, mà còn với Microsoft Azure và Google Cloud. Trong hầu hết các trường hợp, người quản trị hệ thống bất cẩn đã để tin tặc xâm nhập vào và mượn máy đào bitcoin.

Tuy nhiên, cũng có những trường hợp chính người quản trị tận dụng máy tính của công ty để làm công việc này. Theo một báo cáo từ CoinDesk, 2 nhân viên công nghệ thông tin của Chính phủ Crimea đã bị sa thải vào cuối tháng 9.2017 sau khi họ bị phát hiện về hành vi khai thác bitcoin trên máy tính làm việc của mình. Còn vào tháng 1.2017, một nhân viên của Ngân hàng Dự trữ Liên bang Hoa Kỳ cũng đã bị quản chế và bị phạt tiền do khai thác bitcoin trên các máy chủ thuộc Ngân hàng.

Thao tác đơn giản ngăn chặn kẻ “đào” trộm Bitcoin

Hiện tại trên Chrome, đã có các tiện ích mở rộng như minerBlock và No Coin được thiết kế để chặn các đoạn mã đào tiền ảo phổ biến, chủ yếu khai thác tài nguyên trên máy tính người dùng.

Những người quan tâm hơn đến các chi tiết kỹ thuật có thể nhìn vào mã nguồn của MinerBlock và No Coin trên GitHub để hoàn toàn yên tâm trước khi cài đặt chúng.

img

Tiện ích No Coin giúp ngăn chặn kẻ đào trộm Bitcoin

Điều đặc biệt là tương tự như các tiện ích chặn quảng cáo, người dùng có thể loại bỏ một số trang web nhất định từ danh sách các tên miền bị chặn của mình  khi họ muốn website đó sử dụng nguồn tài nguyên trên máy tính của mình.`

Một điều khác cần lưu ý trước khi quyết định cài đặt các tiện ích mở rộng này hay không là, các đoạn mã đào tiền ảo tương tự như Coin-hive rất khó bị người dùng phát hiện, cho đến khi người dùng chú ý đến hiệu suất CPU đang gia tăng nhanh chóng.

img

Coin Have là một kết nối nguy hiểm, sau khi mã độc tồn tại trên máy tính của nạn nhân thì nó sẽ khai thác tài nguyên máy tính để "đào" tiền ảo rồi chuyển về ví của hacker

Bên cạnh các giải pháp này, người dùng có thể sử dụng các tiện ích mở rộng chặn Javascript như NoScript dành cho Firefox và ScriptSafe dành cho Chrome.

Một giải pháp thay thế khác là bổ sung thủ công các trang web nghi vấn đào tiền ảo vào danh sách chặn tên miền trong tiện ích chặn quảng cáo.

Nhận diện kẻ “đào” trộm Bitcoin

Theo thông tin từ Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCert, thuộc Bộ Thông tin và Truyền thông) về mã độc khai thác tiền ảo Coinhive ẩn mình trên các website.

Các quản trị website phải kiểm tra, rà soát mã nguồn để phát hiện các mã được chèn vào. Dấu hiệu nhận biết gồm các từ khóa trong mã nguồn website coinhive.com, coinhive, coin-hive, coinhive.min.js, authedmine.com, authedmine.min.js.

Khi phát hiện website bị chèn các mã khai thác như đã nêu trên, cần rà soát và kiểm tra lại lỗ hổng trên máy chủ, lỗ hổng trên website, kiểm tra các tài khoản bị lộ lọt có quyền thay đổi mã nguồn, nhằm khắc phục lỗ hổng bị lợi dụng.

Còn người sử dụng máy tính cá nhân cần kiểm tra hiệu suất sử dụng CPU của máy tính bằng các ứng dụng như Windows Task Manager và Resource Monitor. Nếu máy tính có dấu hiệu chậm chạp và kiểm tra thấy hiệu suất sử dụng CPU của các trình duyệt, tiện ích mở rộng cao bất thường thì có thể máy tính đã bị nhiễm Coinhive.