Organizacja Anti Phishing Working Group zajmująca się aktywną walką ze zjawiskiem phishingu czyli wyłudzania od użytkowników ich danych do wszelakiej maści serwisów, wydała raport podsumowujący drugą połowę 2009 roku. Podsumowując w jednym zdaniu można napisać, że jedna marka przestępców zdominowała rynek, większość wykorzystywanych domen i kont przejęte zostały w wyniku włamań, nazwa marki w adresie nie ma większego znaczenia. A podsumowując w kilkuwięcej zdaniach możemy dowiedzieć się, że:
- jeden gang ukrywający się pod nazwą: Avalanche odpowiada za dwie trzecie wszystkich przeanalizowanych przypadków, których było 126 697,
- gang ten odpowiada za znaczny wzrost ataków typu phishing w ujęciu globalnym,
- gang został odkryty w grudniu 2008 roku by zdobyć 24% rynku z raportu za pierwszą połowę 2009 roku,
- wykorzystywany jest mechanizm Fast-Flux, w którym do obsługi systemu wykorzystywane są przejęte komputery sieci botnet,
- na nowo zakupionej domenie przez gang, średnio znajdowało się 40 serwisów udających prawdziwe firmy i usługi,
- obok phishingu przestępcy z Avalanche atakowali trojanem Zeus,
- członkowie Avalanche postawili na domeny .eu, gdyż ponad 33% ich domen zakończone było tymi znakami, podczas gdy dla reszty świata domeny te nie znaczyły wiele,
- aktualnie odczuwalny jest spadek rejestracji domen i ataków gangu Avalanche,
- dzięki działaniom i zaangażowaniu firm, instytucji i społeczności średni czas życia domen gangu Avalanche był o połowę krótszy niż innych domen,
- niestety domeny używane przez pozostałe organizacje przestępcze wydłużyły swą żywotność w porównaniu do poprzedniego półrocza,
- w pierwszej połowie roku 2009 odnotowano 55 698 przypadków co dobitnie pokazuje, że proceder przybiera na sile,
- 76% ataków wymierzonych jest w domeny zakończone na .com, .eu, .net, .uk (chyba można w tym momencie napisać, że domeny .eu to był sukces ;),
- 88% fałszywych stron było umieszczane z wykorzystaniem domen .be, .com, .eu, .net, .uk,
- nie są wykorzystywane domeny zawierające znaki specjalne (IDN) krajów „polskie krzaczki”, takich domen wykryto zaledwie 12,
- w celu zwiększenia żywotności witryny często wykorzystywane są już znane działające serwisy hostujące i domenowe (z polskich znalazł się serwis w.interia.pl),
- średni czas życia domeny to kilkanaście godzin,
- odnotowane ataki zostały wykryte na 28 775 unikalnych domenach, czyli mniej niż 30 131 domen wykrytych w pierwszej połowie roku,
- unikalnych adresów IP hostujących strony phishingowe odnotowano 2 031, czyli mniej niż 3 563 w pierwszej połowie roku,
- z 28 775 domen tylko 6 372 zostało zarejestrowanych /z czego 4 141 przez gang Avalanche/, pozostałe 22 403 domeny to wynik przejęć i włamań do istniejących serwisów,
- tylko 3.6% nazw domen zawierało marki, które miały udawać,
- odnotowano wzrost popularności serwisów skracających adresy,
- dla domen .pl odnotowano 1 329 ataków, na 470 unikalnych domenach, średni czas utrzymania domeny to 88 godzin, 76 domen zostało zarejestrowanych z czego 75 przez znany gang, który odpowiedzialny był za 298 ataków w Polsce.