Ook de kracht van uw computer kan gekaapt worden om cryptomunten te delven

Toen beveiligingsonderzoeker Willem de Groot onlangs een aankoop wilde doen bij een Nederlandse webwinkel, gebeurde er iets vreemds. Zijn laptop begon enorm te blazen - teken dat er veel extra werk werd verricht. Hij ontdekte een scriptje op de site van de webwinkel dat zijn laptop zo zwaar aan het werk zette. En raakte verzeild in de wondere wereld van 'cryptojacking'.

Computerparken

Het oorspronkelijke idee erachter is best slim: zet de ongebruikte rekenkracht van computers in om mee te helpen bij het 'delven' van cryptomunten. Voor dit aanmaken van virtuele munten zoals de bitcoin is extreem veel computerkracht nodig. Dit om de ingewikkelde berekeningen te doen die gerommel met transacties tegengaan. Gangbaar is om in landen waar energie goedkoop is complete parken met zware en gespecialiseerde computers neer te zetten. Dat kost veel geld en energie, maar het levert ook veel op: 'mining' van cryptomunten wordt goed beloond. Veel van deze speciale computerparken staan in China.

De andere, nieuwere methode is om zo veel mogelijk gewone smartphones, laptops en pc's aan het werk te zetten. Één losse computer speelt niets klaar, maar als je er genoeg hebt, kan het hard gaan.

Precies dit laatste doet het bedrijf Coinhive. Niet voor bitcoins, want hiervoor is zoveel computerkracht nodig dat zelfs het combineren van duizenden losse computers geen zoden aan de dijk zet. Maar wél voor andere, minder populaire cryptomunten zoals de Monero. Coinhive stelt aan websitebeheerders een simpel scriptje beschikbaar dat ze op hun site kunnen zetten. Op het moment dat hun site wordt bezocht, wordt de computer van de bezoeker aangesproken om rekenwerk te verrichten. Het geld dat daarmee indirect wordt verdiend, wordt vervolgens netjes verdeeld tussen de website-eigenaar (70 procent) en Coinhive (30 procent).

Computerkracht doneren

Een van de sites die hiermee in september aan de gang ging was The Pirate Bay. De roemruchte zoekmachine voor zogenoemde torrents plaatste de code als test, om te zien of dit een bruikbaar alternatief zou kunnen zijn voor de advertentiebanners waar de site zijn bezoekers normaliter mee bombardeert. Veel bezoekers reageerden opvallend welwillend. 'Als dit een levensvatbare methode is om deze site te ondersteunen zonder porno-banners te hoeven vertonen, dan vind ik het prima', zo verwoordde een van de bezoekers het.

Het idee om op deze manier geld te verdienen is niet nieuw. Al een jaar of vier geleden experimenteerde nieuwssite Quartz met het benutten van de computerkracht van zijn bezoekers om - toen nog - bitcoins te delven. 'Noem het maar een cryptopaywall. In plaats van ons te betalen om Quartz te mogen lezen, kunt u ook wat van uw computerkracht doneren. We denken dat dit een aantrekkelijker model is om onlinenieuws te financieren dan advertenties of abonnementen', schreef de nieuwssite destijds. Ook Coinhive gooide het over deze boeg: 'Het is ons doel om een levensvatbaar alternatief te bieden voor al die opdringerige en vervelende advertenties.'

Geen primeur

Coinhive heeft het delven van cryptomunten via browsers populair gemaakt, maar niet uitgevonden. Een groep studenten van het MIT richtte al in 2013 het bedrijf Tidbit op, dat precies hetzelfde deed. Websites konden code verspreiden als alternatief voor advertenties. Het ging ten onder na aanklachten over het gebrek aan transparantie.

Schimmige sites

Maar de aanvankelijke welwillendheid sloeg om toen The Pirate Bay bij een tweede test naliet zijn bezoekers te informeren én geen mogelijkheid bood het scriptje uit te schakelen. Een andere veelbezochte site, Showtime, wist niet hoe snel het de code van zijn site moest verwijderen nadat bezoekers erover begonnen te klagen dat hun computers het zo zwaar hadden bij bezoek.

Hierna ging het van kwaad tot erger. Want hoewel Coinhive oproept om transparant te zijn over het gebruik, duikt het scriptje in de meeste gevallen op zonder dat sites hiervoor toestemming vragen aan de argeloze bezoeker. Naar schatting zijn er momenteel wereldwijd meer dan dertigduizend sites waarop het Coinhive-script draait. Het merendeel daarvan zijn schimmige sites die gratis porno of films aanbieden.

Maar vaak is het scriptje ook aan het werk zonder dat de sitebeheerders het doorhebben. Dat gaat als volgt. Cybercriminelen gaan op zoek naar sites met slechte beveiliging. Waar mogelijk plaatsen ze vervolgens het stukje script. Zonder dat bezoekers worden geïnformeerd en zonder dat de eigenaren van de site er ook maar een cent van terugzien.

Albert Heijn

Beveiligingsexpert Willem de Groot besloot na de ervaring met zijn blazende laptop nader onderzoek te doen. In zijn bestand van 230 duizend webwinkels die hij periodiek test op de aanwezigheid van malware vond hij 2.500 shops met cryptomine-software. De Groot is ervan overtuigd dat die webwinkeleigenaren zelf niet weten dat ze dit doen. Het merendeel van de winkels is namelijk ook getroffen door andere malware. Bovendien verwijzen bijna alle scripts naar slechts twee Coinhive-accounts.

Ook beveiligingsbedrijf Malwarebytes signaleert in een recent onderzoek de grote populariteit van Coinhive. De software van Malwarebytes zou per dag ongeveer acht miljoen 'cryptojackingincidenten' blokkeren. Er is ook goed nieuws: Coinhive is vrij simpel te blokkeren. Dat kan via een gewone adblocker of via een speciale extensie in de browser. Ook wordt Coinhive door steeds meer virusscanners automatisch geblokkeerd.

In het kielzog van de populariteit van Coinhive duiken echter alternatieven op. Een daarvan is Crypto-Loot. Afgelopen week nog dook dit op bij de site van Albert Heijn. Volgens De Groot was Albert Heijn zelf niet gehackt, maar een externe dienst waarvan de winkel gebruikmaakte. Het effect was hetzelfde: de argeloze bezoeker deed niet alleen mee met een kerstactie, maar ook met de fabricage van virtuele munten.