Diese Websites schürfen heimlich mit Deinem Rechner digitales Geld während Du sie besuchst

Ist Cryptomining eine Alternative zur Werbevermarktung?

donald_mining.gif.pagespeed.ce.SrMurb97H5

Schürft Euer Rechner oder Euer Smartphone während Ihr diese Worte lest vielleicht Kryptowährungen für Fremde – ohne Euer Wissen? Dazu müsstet Ihr lediglich einen weiteren Browser-Tab mit einer Website geöffnet haben, in der ein Javascript-Schnipsel des Cryptomining-Dienstes Coinhive eingebunden ist. Das soll schon bei mehr als 50.000 Websites der Fall sein. OMR zeigt, welche Seiten betroffen sind und erklärt die Hintergründe. Jeder, der einmal über einen längeren Zeitraum hinweg ein Notebook besessen und genutzt hat, dürfte das Phänomen kennen: Plötzlich wird der Rechner langsamer und ist nicht mehr so leistungsfähig. Gründe dafür kann es viele geben. Aber wem das innerhalb der vergangenen drei Monate beim Browsen im Netz widerfahren ist, der ist möglicherweise das Opfer von „Cryptojacking“ geworden. Dabei wird ein Rechner von Fremden gekapert, um mit diesem Kryptowährungen zu „schürfen“. Das kann einiges an Prozessorleistung in Beschlag nehmen und den Rechner damit für andere Tätigkeiten nahezu ausbremsen.

Offizielle Website von Cristiano Ronaldo betroffen

Wer beispielsweise im Zeitraum von Ende September bis Anfang Oktober die offizielle Website von Fußballstar Cristiano Ronaldo aufgerufen hat, dessen Rechner dürfte auf diese Weise zweckentfremdet worden sein – ohne, dass er vorab darüber informiert worden wäre. Am 29. September veröffentlichte ein Twitter-Nutzer auf der Plattform einen Screenshot, der zeigt, dass zu diesem Zeitpunkt im Quellcode der Seite ein Cryptomining-Script von Coinhive integriert war. In einer von Archive.org archivierten Version der Seite vom 30. September lässt sich der Schnipsel ebenfalls finden.

Das so genannte „Cryptojacking“, also die Rechenleistung eines Fremden zu kapern, um mit dieser Kryptowährung zu schürfen, existiert schon seit einiger Zeit. Neu ist jedoch, dass der Rechner des Betroffenen dafür nicht mit bösartiger Software infiziert sein muss, sondern dass der Zugriff einfach über eine im Browser aufgerufene Website stattfindet. Im Fall der Website von Cristiano Ronaldo soll sogar die gesamte verfügbare Prozessorleistung des Rechners des Besuchers beansprucht worden sein. Nachdem andere Twitter-Nutzer wegen des Fundes den Kontakt zur für die Website verantwortlichen Agentur gesucht hatten, sei der Code-Schnipsel wie auf Twitter zu lesen ist eine Woche später ohne Kommentar wieder entfernt worden. Ob die Agentur das Script (mit dem Wissen von Ronaldo?) bewusst eingebunden hat, oder ob (was sicherlich wahrscheinlicher ist) das Script durch einen Dritten in die Seite eingeschleust worden ist, ist unklar.

Unwissentlich beim Twin-Peaks-Schauen cryptominen?

Wenige Tage zuvor hatte ein weiterer Twitter-Nutzer bereits einen Coinhive-Code auf zwei Websites (Showtime.com und Showtimeanytime.com) des zu CBS gehörenden US-Kabelsenders Showtime entdeckt. Der Sender zeigt und streamt u.a. die Serien „Twin Peaks“ und „Homeland“. Gegenüber dem US-Medium The Register soll ein Coinhive-Vertreter erklärt haben, dass der mit dem Code verknüpfte Coinhive-Account offenbar keine E-Mail-Adresse von CBS, sondern eine private nutze. Mittlerweile ist der Code augenscheinlich von beiden Seiten entfernt worden.

Es folgten weitere Fälle: Im Oktober entdeckte der US-Online-Marketing-Dienstleister Pixalate einen Coinhive-Schnipsel auf WorldStarHipHop.com (WSHH), einem US-amerikanischen HipHop- und Klatsch-Blog mit massiver Reichweite („Nach diesem Hip-Hop-Gossenblog wird in den USA häufiger gegooglet als nach Buzzfeed„). Schätzungen von SimilarWeb zufolge verzeichnete WSHH im Oktober knapp 83 Millionen Visits. Auch hier findet sich der Code aktuell nicht mehr im Quelltext der Seite.

Cryptojacking auf der UFC-Streaming-Seite

Auch auf einer Website des Kampfsportverbandes „Ultimate Fighting Championship“ (UFC) haben mehrere Reddit- und Twitter-Nutzer im November den Coinhive-Schnipsel aufgespürt. Auf UFC.tv/fightpass werden u.a. Kämpfe von Mixed-Martial-Arts-Kämpfer Connor McGregor gestreamt. SimilarWeb schätzt die Zahl der monatlichen Besuche von UFC.tv auf 3,9 Millionen. Auch hier ist der Code mittlerweile wieder entfernt.

Beliebt in den dunkleren Ecken des Netzes

Über Seiten wie Builtwith.com und Publicwww.com, die Websites nach ihren Komponenten und deren Quelltext nach Code-Schnipseln durchforsten, haben wir auch nach deutschen Seiten gesucht, die Coinhive eingebunden haben und sind vor allen Dingen auf kleinere bis mittlere Nischenseiten gestoßen. So ist Coinhive beispielsweise auf Fahrtkosten-Rechner.de eingebunden. Die Seite rankt zum thematischen Haupt-Keyword derzeit bei Google auf Platz 1 und verzeichnete im Oktober nach Schätzung von SimilarWeb fast 100.000 Visits und 30.000 Unique User. Der Betreiber hat den „Rechenhunger“ von Coinhive auf seiner Seite allerdings um 70 Prozent gedrosselt. Auch auf Sudokus.de findet sich Coinhive aktuell im Quelltext. Die Seite liegt mit dem Keyword „sudokus“ bei Google derzeit auf Platz 1, mit „sudoku“ auf Platz 8. SimilarWeb schätzt die Zahl der monatlichen Besucher auf 7.300.

Neben solchen mehr oder minder seriösen Websites sind es vor allem Seiten im grauen bis illegalen Bereich sowie aus der Porno-Branche, die offensichtlich wenig Hemmungen haben, die Rechenleistung ihrer Besucher zu kapern. Bereits Mitte September hatte ein Reddit-Nutzer festgestellt, dass seine CPU-Auslastung beim Besuch einer Filesharing-Seite in die Höhe schnellte: Die große Torrent-Seite The Pirate Bay, die vermutlich mehrere Hundert Millionen Besucher im Monat verzeichnet, nutzte zu diesem Zeitpunkt Coinhive. Dies sei ein Test, ob Cryptomining eine Alternative zur Werbung auf der Seite sein könne, schrieben die Betreiber schließlich selbst wenige Tage später in einem Blog-Eintrag. Wegen eines Tippfehlers sei der Prozess jedoch nicht gedrosselt worden. Der Blog Torrentfreak hat auf Basis von SimilarWeb-Zahlen ausgerechnet, dass The Pirate Bay bei einer Drosselung des Miners auf 30 Prozent monatlich 12.000 US-Dollar „erschürfen“ könne. Aktuell ist Coinhive nicht auf dem Portal eingebunden.

Auf deutschen Streaming-Portalen im Einsatz?

Auch auf Portalen, die die Adressen illegaler Streams aggregieren, wird Coinhive eingesetzt. Der Blog „Tarnkappe.info“ berichtete im September darüber, verborgene Cryptomining-Aktivitäten auf den großen deutschen Streaming-Portalen Kinox.to und Movie4k.to aufgespürt zu haben. Bei Besuch der Seiten sei die Prozessorlast um bis zu 43 Prozent angestiegen. OMR konnte den Bericht jedoch nicht verifizieren. Auf der Seite 123moviesfull.org (SimilarWeb: 4,2 Millionen Visits, 1,2 Millionen Unique User im Oktober) ist Coinhive hingegen aktuell eingebunden.

Wer die Listen der Coinhive nutzenden Seiten auf Builtwith und PublicWWW durchscrollt, stößt ebenfalls auf viele Seiten aus dem Porno-Bereich. Die Website 8BTC zeigt anhand von chinesischen Pornoseiten, wie auch hier die Prozessorlast in die Höhe schnellt.

Mehr als 500 Millionen betroffene Nutzer?

Laut Builtwith.com ist Coinhive weltweit auf mehr als 50.000 Websites eingebunden. Wenig verwunderlich: Einer Auswertung von Pixalate zufolge verwenden mehr als drei Viertel der Seiten, die Coinhive nutzen, die wenig Seriosität ausstrahlenden Top-Level-Domains .online und .site. Doch muss mangelnde Seriosität nicht auch mangelnden Traffic bedeuten. Der Adblock-Anbieter Adguard (der seine Nutzer angeblich vor Cryptojacking schützt) schätzt, dass bereits 500 Millionen Nutzer von dem Phänomen betroffen sind oder waren.

Dabei muss es nicht immer der Fall sein, dass der Code auf den jeweiligen Seiten wirklich von deren Betreibern eingebunden worden ist. Bei vielen dürften auch Hacker Sicherheitslücken genutzt haben, um ihren eigenen Code einzuschleusen und so mit fremden Seiten und fremder Rechenkraft Geld zu verdienen. Der niederländische Entwickler Willem de Groot hat den Coinhive-Code vor Kurzem in fast 2.5000 Online-Shops gefunden. In 85 Prozent der Fälle (de Groot spricht hier von „infizierten Shops“) sei der Code mit denselben zwei Coinhive-Nutzerkonten verknüpft gewesen. Auch über mindestens ein WordPress-Plugin ist Coinhive bereits  verbreitet worden. Laut dem IT-Sicherheitsdienstleister Check Point ist Coinhive bereits die sechsthäufigste Malware-Art. Nun greift die Methode auch schon auf die Mobile-Welt über: Der IT-Sicherheitsdienstleister Trendmicro hat Coinhive auch schon in einer Android-App entdeckt.

Coinhive stammt offenbar aus Deutschland

Größter Profiteur der Entwicklung dürften die Betreiber von Coinhive sein. Denn das Unternehmen behält von seinen Nutzern 30 Prozent der erschürften „digitalen Münzen“ selbst ein – „um diesen Service betreiben zu können und (hoffentlich) einen Profit erzielen zu können“, wie es auf seiner Website schreibt. Coinhive setzt dabei auf Monero, eine digitale Währung, die sich gut mit „Consumer CPUs“ generieren lasse, wie auf der Coinhive-Seite zu lesen ist. Eine Monero-„Coin“ (XMR) ist aktuell rund 105 Euro wert – aber um eine solche zu „erschürfen“ braucht es eine lange Zeit. Bei kleinen Blogs sei das wenig ergiebig, so die Macher selbst. Bei Casual Games, bei denen die Nutzer länger auf der Seite bleiben, sei der Einsatz von Coinhive schon gewinnbringender.

Wer Coinhive betreibt ist aktuell nicht ersichtlich. Eine schriftliche Nachfrage von OMR nach ihrer Identität beantworten die Betreiber wie folgt: „Wir können nur verraten, dass wir gemeinsam an pr0gramm arbeiten und dort auch als Experiment einen Miner implementierten.“ Auf der Bild-Post-Plattform Pr0gramm.com feiert eine loyale Community kruden Humor und Political Incorrectness. Pr0gramm gilt als deutsches Pendant zu 4Chan („Fast eine Milliarde Page Impressions pro Monat und trotzdem pleite – der Aufstieg und Fall von 4chan„).

Ist Cryptomining ein alternatives Monetarisierungsmodell?

Wie 4Chan dürfte auch Pr0gramm ansehnlichen Traffic verzeichnen (SimilarWeb: 1,2 Mio. Unique User und 4,2 Mio. Visits im Oktober), hat aber Schwierigkeiten, diesen zu monetarisieren oder zumindest den Plattformbetrieb zu refinanzieren. Auf pr0gramm.com lässt sich noch ein erstes Fazit des Schürf-Experimentes nach 72 Stunden finden. In den Kommentaren rechnet ein Nutzer aus, dass das Mining den Pr0gramm-Betreibern täglich rund 91 Euro einbringen könnte. In der Mail an OMR schreiben die Coinhive-Betreiber: „Wieviel wir mit Coinhive bisher umgesetzt haben und welche Websites am meisten dazu beitrugen, möchten wir nicht sagen. Generell funktionieren Seiten auf den User lange verweilen natürlich am besten. Dazu gehören z.B. Foren oder Video-Streaming Seiten.“

Die Schürfstatistik von Pr0gramm nach 72 Stunden (Quelle)

Könnte Coinhive eine alternative oder zumindest zusätzliche Monetarisierungssäule für Website-Betreiber sein? Die bisher geschätzten Beträge legen eine eher nüchterne Antwort auf diese Frage nahe. Hinzu kommt das Problem der mangelnden Transparenz. Denn zum jetzigen Zeitpunkt informieren die meisten der Seiten ihre Besucher nicht über das Cryptomining. Ganz davon zu schweigen, dass die Nutzer nicht selbst entscheiden können, ob sie es akzeptieren wollen.

Adblocker und Hoster gehen gegen Coinhive vor

Die Coinhive-Macher selbst zeigen sich in einem Blog-Eintrag „ein wenig betrübt“ über diese Entwicklung. „Wir glauben, dass unsere Lösung so viel mehr Potenzial hat, aber wir müssen gegenüber unseren Endkunden respektvoll sein.“ In den „Terms of Service“ des Dienstes verbieten die Betreiber die Verwendung von Coinhive für illegale Zwecke. „Wir gehen strikt dagegen vor, wenn jemand unseren Service auf ‚gehackten‘ Seiten einsetzt und schließen alle Accounts, die gegen unsere Geschäftsbedingungen verstoßen, so bald wir darüber informiert werden“, so die Coinhive-Macher gegenüber dem Kryptowährungs-Blog Coindesk.

Aber auch von außen wird Coinhive bereits bekämpft. So blockiert die Browser-Erweiterung Adblock Plus das Coinhive-Script. Auch der große Hosting-Anbieter Cloudflare soll angeblich Website-Betreiber, die Coinhive nutzen, von seinem Server geworfen haben. Das Unternehmen betrachte Coinhive als Malware, so ein Cloudflare-Vertreter gegenüber einem der betroffenen Kunden. Kleine Ironie: Laut Builtwith.com nutzen auch die Betreiber von Coinhive.com Cloudflare-Hosting.

Update 20. November, 11:30 Uhr: Wir haben den Artikel um zwei Statements der Coinhive-Betreiber ergänzt.

In einer vorherigen Version dieses Artikels war außerdem die Rede von einer möglichen Coinhive-Einbindung auf dem Uhrenmarktplatz Chrono24.de. In einer von Pixalate veröffentlichten Liste wird chrono24.de als betroffene Seite aufgeführt. Chrono24-Mitgründer und -CEO Tim Stracke schrieb nun an OM: „Zu keiner Zeit war ein JavaScript Snippet von Coinhive auf unserer Website installiert. Da uns leider nicht bekannt ist, wie Pixalate an die Daten kommt, können wir nicht nachvollziehen, wie unsere Seite chrono24.de in der Liste von Pixalate gelandet ist.“ Im Quelltext der Seit finde sich der String „CoinHive“, „um in unserem JavaScipt Error Tracking Fehler durch etwa entsprechende Browser Plugins auszuschließen“, so Stracke. Über den Marktplatz des Unternehmens würden in diesem Jahr Verkäufe im Wert von einer Milliarde Euro generiert; Chrono24 sei profitabel. „Es gibt also schon von daher keinen Grund als Cryptominer aktiv zu werden.“ Zudem werde der Code immer von mehreren Personen überwacht, so dass auch eine ungewollte Einbindung eines Snippets ausgeschlossen sei.“

Krypto
Roland Eisenbrand
Autor*In
Roland Eisenbrand

Roland ist seit mehr als zehn Jahren als Journalist in der Digitalbranche aktiv. Seit 2014 verantwortet er als Head of Content (und zweiter Mitarbeiter) alle inhaltlichen Komponenten von OMR, darunter vor allem den OMR Blog und redaktionelle Arbeit rund um das OMR Festival.

Alle Artikel von Roland Eisenbrand

Ähnliche Artikel

Aktuelle Stories und die wichtigsten News für Marketeers direkt in dein Postfach!
Zeig mir ein Beispiel