在智慧型手機相當普遍的現在,免費Wi-Fi無線網路經常讓人趨之若鶩。但研究人員發現,未加密的免費Wi-Fi,很有可能暗藏資訊安全陷阱,讓使用者的電腦或手機,在無意間變成免費的虛擬貨幣礦工。
虛擬網路加密貨幣是相當新興的網路交易媒介,由於不存在主管機關、幾乎不可能破解、流通性廣,以及匿名等特性,比特幣(Bitcoin)、門羅幣(Monero)、乙太幣(Ethereum)等加密貨幣在近期大行其道。這些加密貨幣,每一枚都由複雜的密碼所組成;而使用電腦設備提供運算能力,以「運算」製造出新的加密貨幣,這個過程就稱為「挖礦」。
先前在巴西的星巴克咖啡廳,曾爆發過免費Wi-Fi無線網路的登入畫面被暗藏挖礦陷阱;該網頁讓顧客等候10秒鐘,顧客都以為是在等候登入無線網路,但其實是變成該登入網頁的免費礦工。
而受到巴西這件案子的啟發後,西班牙研究人員Arnau發現,甚至不需騙使用者在登錄畫面等候,只要攔截公開的Wi-Fi訊號,在回應的網頁中植入一串JavaScript,就同樣能夠讓受害者變成免費礦工。其採用的攻擊原理是「中間人(Man-in-the-Middle,MitM)攻擊」,只要傳輸的訊號未受加密,就能夠挾持公開Wi-Fi無線網路的流量,連結至惡意的伺服器,利用Coinhive採礦程式,讓使用公開Wi-Fi的裝置,不知不覺間成為挖掘加密貨幣的免費「礦工」。
對於此威脅,資安業者Sophos表示,在使用免費Wi-Fi時應盡量只使用有「HTTPS」為網址開頭的網站。HTTPS採用的加密,才能避免因Wi-Fi訊號被攔截,而變成別人的免費礦工。
