Cyberprzestępcy za pomocą złośliwego oprogramowania kradną dane autoryzacji kart płatniczych, dokonują fałszywych transakcji oraz ukrywają swoją działalność przed organami ścigania. Obecnie potrafią ukraść także inny towar - kliknięcia użytkowników. Chociaż towar ten nie jest drogi, w skali botnetu z 150 tys. przejętych komputerów, przynosi corocznie zyski rzędu wielu milionów dolarów. Do tego celu wykorzystuje się złośliwy kod, który przekierowuje ofiary, nie pozwalając im odwiedzić witryn, na które chcą wejść. W ten sposób zmienia się wyniki wyszukiwania, a popularne wyszukiwarki Google, Yahoo! czy Bing wydają się działać jak zwykle i nie wzbudzają podejrzeń. Kiedy jednak ofiara ataku otworzy link wyniku wyszukiwania lub link sponsorowany, zostaje przeniesiona na inną stronę, tak by przestępcy zarabiali na każdym odwiedzającym. Stawka zależy od szukanego słowa kluczowego; zazwyczaj jest to 0,01-0,02 dolara za kliknięcie, jednak przy frazach takich jak "zarabiaj z domu" czy "pożyczka", cena wzrasta do ponad dwóch dolarów.

Przez pośredników

Aby spieniężyć ukradzione kliknięcia, przestępcy zwykle posługują się pośrednikiem, który z kolei je sprzeda wiarygodnym firmom, takim jak Yahoo!, Google czy Ask.com. Proceder ten wcale nie jest łatwy, ponieważ firmy te korzystają z zaawansowanych narzędzi mających na celu wykrycie oszustwa. Większość cyberprzestępców korzysta zatem z usług brokerów internetowych. Brokerzy tacy często są uwikłani w siatki przestępcze, zajmując się także wyłudzaniem kliknięć z użyciem fałszywych wyszukiwarek.

Mimo narzędzi ochrony, proceder ten trwa w najlepsze. Rik Ferguson starszy doradca ds. bezpieczeństwa w firmie Trend Micro mówi: "Wiemy, że wyniki wyszukiwania na Yahoo! były odsprzedawane z powrotem Yahoo! przez nieuczciwego pośrednika. Innym razem kliknięcia ukradzione z Google odsprzedawane były LookSmart".

Fałszywa wyszukiwarka

Aby ukraść jak najwięcej kliknięć, tworzone są często fałszywe wyszukiwarki. W ten sposób działa, na przykład, jeden z brokerów reklamy internetowej, firma Onwa Ltd., mieszcząca się w rosyjskim St. Petersburgu i funkcjonująca co najmniej od 2005 r. pod różnymi nazwami (m.in. Uttersearch, RBTechgroup czy Crossnets). Wprowadza ona podrobione strony wyszukiwarek. W rzeczywistości stanowią one jedynie środek do celu, jakim jest wyłudzanie kliknięć z botnetów. Aby uwiarygodnić firmę w oczach kontrahentów, zakładane są strony, które sugerują, że dany broker prowadzi wiarygodny biznes od dłuższego już czasu. Na porządku dziennym są także sztuczki związane z pozycjonowaniem stron oraz wykorzystuje się komputery-zombie, by podwyższyć miejsce w rankingu Alexa.

Dziel i rządź

Fałszywy ruch jest stosunkowo łatwo wykryć, dlatego pośrednicy dzielą go na mniejsze części, by wyglądało to tak jakby pochodził z wielu różnych źródeł. Jeśli strona kupująca aktywność internetową zauważy oszustwo, pośrednik może zrzucić winę na rzekomo nieuczciwych współpracowników i oczyścić jeden z kanałów dostarczających ruch. W ten sposób grupa cyberprzestępców straci jedynie część zysku, a nie cały.