Nettleseren din kan bli brukt til å utvinne kryptovaluta, uten at du nødvendigvis får vite om dette.
Det er mye penger å tjene på utvinningen av kryptovaluta, men først kreves det vanligvis store investeringer i maskinvare. Alternativt kan man bruke en distribuert tilnærming, hvor store grupper av IT-brukere tilbyr noe av sin datamaskins overskudd av regnekraft til å utføre en liten andel av beregningene.
Dette har blitt gjort i årevis med prosjekter som Folding@Home og SETI@home. Men nye muligheter i moderne nettlesere gjør at også disse kan utføre krevende oppgaver, som å utvinne kryptovaluta.
Bare i noen måneder
Dette har begynt å ta av. De to største aktørene er muligens Coinhive og JSEcoin. Begge tilbyr nettstedeiere en JavaScript-basert løsning som enkelt kan bygges inn i koden til enhver webside. JSEcoin ble offentlig tilgjengelig i midten av august, mens Coinhive ble lansert i midten av september.
For nettstedeiere er dette en ny mulighet til å tjene penger på innholdet, i tillegg til eller istedenfor annonser og andre inntektsmodeller. Etter 30 dager var JSEcoin tatt i bruk av rundt 950 ulike nettsteder.
For dem som besøker nettstedene, innebærer utvinningen at batteriet til mobile enheter tappes raskere for strøm, men ikke nødvendigvis mer enn det som skjer under avspilling av for eksempel videoannonser.
Leste du denne? Overivrig norsk IT-konsulent aktiverte script som stjal datakraft fra tusenvis
Samtykke?
Seriøse aktører vil informere brukerne om at slik utvinning utføres på deres enhet så de er innen på aktørens nettsted, og nyere utgaver av noen av skriptene ber til og med om brukernes samtykke før utvinningen startes.
Men dette er langt fra alltid tilfellet. For mange nettsteder er hensynet til brukernes ve og vel i liten grad prioritert. De har så attraktivt innhold at brukerne kommer tilbake uansett. Dette inkluderer blant annet en del tjenester som tilby pirat-tv, fildeling eller porno. Her kan man ikke forvente at brukerne blir varslet om at slik utvinning gjøres i bakgrunnen.
For brukere av slike nettsteder, bør det likevel ikke det ikke være helt ukjent at det kan innebære en viss risiko for å bli misbrukt under besøket.
Det har for øvrig flere ganger blitt funnet apper som utvinner kryptovaluta på Android-enheter, uten at brukerne er gitt beskjed om dette.
En halv milliard brukere
I første halvdel av oktober publiserte Adguard, som tilbyr en annonseblokkerer, en rapport om hva slags nettsteder som hadde tatt i bruk nettleserutvinning av kryptovaluta. Dette bare tre uker etter at fenomenet hadde tatt av.
Adguard fant at 220 av verdens 100 000 største nettsteder allerede hadde tatt i bruk slike skript. Samlet har disse nettstedene mer enn en halv milliard brukere i måneden.
Det kan trengs, for det er ikke slik at man blir rik bare man tar i bruk løsningene. Coinhive opplyser at 10 til 20 kontinuerlige utvinnere i drift vil generere en inntekt som tilsvarer 0,3 monero (XMR) i måneden, drøyt 210 kroner. Så det gjelder å ha mange samtidig brukere og brukere som blir inne på nettstedet lenge om gangen.
Men kostnaden for nettstedet ved å gjøre dette, er i utgangspunktet svært lav.
De nevnte kategoriene av nettsteder dominerte, med til sammen mer enn 57 prosent, men 17 av nettstedene var tilsynelatende ordinære nyhets- og medienettsteder. Showtime.com var blant disse, men skal ha fjernet det igjen.
Les også: Ekspert kaller kryptovalutaen en «gigantisk boble» som kommer til å sprekke
Utnyttelse av sårbarheter
Men det er også en annen kategori av aktører som tjener penger på nettleserutvinning av kryptovaluta, nemlig personer eller grupper som utnytter sårbarheter i publiseringsplattformer som WordPress, Joomla, Drupal og Magento.
Ved å injisere modifiserte utgaver av skriptene i for eksempel andres blogger og nettbutikker, kan kriminelle tjene penger på andres nettsteders trafikk, uten at noen av de berørte egentlig legger merke til det. I disse tilfellene brukes det eldre utgaver av skriptene, som ikke krever samtykke fra brukerne.
I et blogginnlegg som ble publisert for en uke siden, skrev websikkerhetsselskapet Sucuri at det estimerte at rundt 500 WordPress-baserte nettsteder har blitt infisert.
For brukerne er det mulig å blokkere også dette, slik de kan gjøre med annonser og annet som oppleves som invaderende.
Et lovende alternativ?
Men mange nettsteder, både seriøse og mindre seriøse, sliter med å finansiere driften. Utbredt annonseblokkering, kombinert med lave priser for annonsevisningene, har ført til at få kan leve av dette alene. Det jaktes derfor stadig på nye inntektskilder.
Nettopp av den grunn mener Adguard at utvinning av kryptovaluta på nettsteder kan ha en stor framtid, ikke bare i de mørkere krokene av nettet, men også hos mange andre.
Dette må selvfølgelig skje helt åpent, slik at brukerne er klar over hva som foregår.
Les også: Utlendingene er helt ville etter disse norske «Bitcoin-konteinerne» (Digi Ekstra)