Se um cibercriminoso quisesse comprar um Trojan, teria que desembolsar entre 350 e 700 dólares. Por exemplo, um Trojan que furta palavras-passe custa $600, e um Limbo Trojan – com menos funcionalidades – custa cerca de $500. No entanto, ambos os Trojans que furtam palavras-passe para aceder a bancos online já foram vendidos pela módica quantia de 350 dólares. Os cibercriminosos teriam que pagar $500 por um Trojan que registe números de contas utilizados em plataformas de pagamento, como a Webmoney, embora haja frequentemente “ofertas especiais”, em que os primeiros 100 compradores teriam que pagar apenas 400 dólares.

Esta imagem mostra como é vendido o spam para contas ICQ
O próximo passo é obter uma lista de endereços de e-mail para distribuir o Trojan. Para tal, teriam apenas que visitar outra página Web, onde poderiam obter mailing lists de todas as dimensões. Os preços variam entre os 100 dólares por um milhão de endereços e os 1.500 para 32 milhões. Se desejarem igualmente enviar links para efectuar o download do Trojan para os utilizadores de mensagens instantâneas, poderão adquirir um milhão de endereços ICQ por $150.

O próximo passo? Assegurar que programas antivírus não detectem os códigos maliciosos. É possível contratar um serviço que proteja o malware contra ferramentas de segurança por um preço que se situa entre um e dois dólares por executável oculto. Se os próprios hackers desejarem fazer isso, podem obter software polimórfico de encriptação, chamado Polaris, por apenas $20.

A última acção é enviar e-mails para distribuir o Trojan. Por aproximadamente 500 dólares, os cibercriminosos podem alugar um servidor de spam, tendo apenas que aguardar que as vítimas sejam infectadas.

A rentabilidade do malware

Alguns cálculos simples são tudo o que é necessário para sublinhar o quão lucrativa esta actividade pode ser. Se um Trojan custar $500 e uma mailing list com um milhão de endereços custar $100, isso significa que $600 são suficientes para infectar um milhão de pessoas. Então acrescente um programa de encriptação de $20 e um servidor de spam de $500. Com um índice de êxito de quase 10% (realmente baixo), os hackers são capazes de infectar 100 mil pessoas.

Se forem capazes de furtar dados bancários de 10% desses utilizadores, tal significaria ter acesso a 10 mil contas bancárias. Imagine o dinheiro que uma pessoa da classe média possui numa conta corrente e multiplique isso por 10 mil para calcular o lucro dos cibercriminosos.

Contudo, esvaziar centenas de contas levantaria muitas suspeitas e os criminosos procuram obter dinheiro de forma invisível. Por isso, retiram apenas pequenas somas de cada conta, cem dólares, por exemplo, que multiplicados por 10 mil totalizam um milhão de dólares. Assim, em muito pouco tempo os cibercriminosos podem tornar-se milionários com um investimento de 1.200 dólares. Atente-se ao facto de nestes cálculos terem sido utilizados índices de êxito muito baixos, pelo que a quantia poderá ser mais elevada na vida real.