Allt fler webbplatser kryptokapar dig – så undviker du att drabbas

Nyligen skrev vi om hur så kallad kryptokapning, skadlig kod som ”kapar” datorer och utnyttjar deras processorkraft för att bryta kryptovalutor, växt explosionsartat under 2018.

I princip alla världens säkerhetsföretag har rapporterat att de sett ett stort skifte från ransomware till kryptokapning. Den huvudsakliga orsaken till skiftet är främst att kryptokapning är en mycket mer diskret och lönsam metod jämfört med ransomware. Att vi sett kraftigt ökade värderingar av kryptovalutor har givetvis också spätt på de cyberkriminellas strävan att så fort som möjligt lägga vantarna på så mycket de kan.

Säkerhetsföretagen har också observerat en stor förändring i hur kryptokaparna går tillväga. Tidigare förlitade sig kriminella främst på att installera skadliga program i offrens dator och på så sätt kapa dem för att bryta kryptovaluto. Men idag använder de oftast ett lättare och mer svårupptäckt (åtminstone ur offrets perspektiv) sätt att göra det på, genom att helt enkelt köra en JavaScript-fil direkt i webbläsaren, vilket inte kräver några kända sårbarheter eller att användaren luras att agera på ett visst sätt. I stället för att infektera användarnas datorer infekteras hela webbplatser med skadliga annonser. Allt som därefter behöver ske för att valutabrytningen ska inledas är kort och gott att användaren besöker en sådan infekterad webbplats (med JavaScript aktiverat).

Risken för att du blir kapad utan att veta om det har alltså ökat i takt med att med att allt fler tveksamma aktörer på nätet börjat använda kryptokapning direkt på sina webbplatser. Tidigare i år avslöjades till exempel att den kända/ökända torrentsajten The Pirate Bay i smyg kryptokapade sina besökares datorer för att bryta den digitala valutan Monero. Men sedan någon månad tillbaka är man trots allt ”öppna” med att man gör det, genom en liten finstilt text längst ner på sidan (som majoriteten av sajtens besökare knappast lägger märke till).“By entering TPB you agree to XMR being mined using your CPU. If you don’t agree please leave now or install an adBlocker” står det att läsa längst ner på The Pirate Bays webbplats. Många av TPB:s så kallade mirror-sajter har också lagt in samma text, men flera fortsätter att kapa i det fördolda.

Även legitima webbplatser ”kapar”

Nu ska direkt sägas att brytning av kryptovalutor på det här sättet inte per automatik alltid är något extremt ondskefullt – det finns exempel på en del mer legitima webbplatser som börjat erbjuda sina besökare att dela med sig av sin processorkraft i utbyte mot att de slipper reklam på webbplatsen. Vilket många användare utan vidare godkänner som en win-win-deal.

Problemet är att de dels oftast använder samma verktyg (oftast Coinhive) som de mindre legitima kryptokaparna, vilket på sikt göder cyberbrottsligheten som utvecklar och säljer den typen av verktyg, och dels att de inte är särskilt transparenta med vad det innebär för dig som användare att din processorkraft utnyttjas för brytning av kryptovalutor.

Slöar ner och sliter på datorn

Så, är väl den logiska följdfrågan, vad innebär det då att din dator blir kryptokapad? När en webbplats utnyttjar din dator för brytning av kryptovalutor använder den CPU-kraften i ditt system vilket gör att din dator helt enkelt blir lite långsammare, samtidigt som strömförbrukningen ökar. Det kan i sin tur på sikt, vid upprepat utnyttjande, påverka livslängden på både din CPU och på bärbara datorers batterier.

Men för att inte omedelbart bli upptäckta, vilket förmodligen skulle ske omgående om de drog hela processorkraften, så är dagens kryptokapningsprogram oftast inställda på att inte dra mer än till exempel 50 procent av varje dators prestanda – vilket så klart ändå räcker gott och väl för lukrativ brytning om tillräckligt många datorer utnyttjas.

Relativt enkelt att skydda sig

Men hur vet du att en webbplats kryptokapar dig och hur kan du skydda dig? Det enklaste sättet är förstås att undersöka huruvida en orimligt stor del av din processorkraft används. I Windows kan du högerklicka på Aktivitetsfältet och välja Aktivitetshanteraren. Öppna därefter fliken Prestanda. I MacOS öppnar du Aktivitetskontroll (enklast genom att söka direkt i Spotlight) eller genom att gå till Program> Verktygsprogram> Aktivitetskontroll. Kika på fliken Processor. Total CPU-användning i MacOS brukar i normalläge ligga under 20 procent. Ser du onormala uppgångar i användningen när du besöker en specifik webbsida kan det tyda på att något fuffens pågår.

Många av de mest populära antivirusprogrammen har på sistone lagt till skydd mot kryptokapning, se över om ditt har det och överväg att byta om så är fallet. För att skydda dig kan du också installera en annonsblockerare, som till exempel AdBlock och dessutom svartlista CoinHive (som är det program som oftast används av kryptokapare) genom att lägga tillhttps://coin-hive.com/lib/coinhive.min.js som blockerad url.

För Chrome finns en rad plugins som stoppar kryptokapning i webbläsaren, exempel No Coineller Minerblock. Många Firefox-användare kör också säkerhetspluginet NoScript, som stoppar (bland annat) JavaScript från att köras i webbläsaren. Det är effektivt mot kryptokapning (och mycket annat), men ha i åtanke att det också kan störa funktionaliteten rejält på en hel del fullt legitima webbplatser. Webbläsaren Opera, som i årtionden fått bära epitetet ”utmanare”, har i sin senaste version byggt in automatiskt skydd mot kryptokapande webbplatser.