Tre quarti dei siti di phishing sono basati su server che hanno script  trovati utilizzando termini di ricerca di Google. Quest i risultati della ricerca di MarkMonitor.

Tra le altre attività, MarkMonitor ricerca attacchi di phishing che hanno come target nomi di marchi.

I ricercatori  hanno compilato una lista di 750 termini di ricerca di Google che sono utilizzati per rintracciare siti web  in grado di sfruttare vulnerabilità comuni in gran parte basate su PHP. I termini di ricerca restituiscono un elenco di siti che possono avere particolari vulnerabilità, gli attacker quindi sfruttano la vulnerabilità, per poter accedere al sito, e poi usarlo per ospitare codice dannoso o pagine web finte come parte della truffa. di phishing. Ad esempio come molte pagine delle Poste italiane.

MarkMonitor ha trovato che il 75 per cento dei siti di phishing erano originariamente rintracciati utilizzando uno dei termini in lista di Google. La ricerca si è basata su un campione di almeno un quarto dei siti di phishing conosciuti dalla ricerca.

I termini di ricerca, chiamati “Google dorks”, sono attivamente vendute nei forum, e sono normalmente scansite da IRC-”bot”, che eseguono anche  la scansione di Yahoo e AOL Search.

Google ha già fatto per bloccare le ricerche automatiche che sfruttano i “dorks”, ma possono ancora essere utilizzati manualmente.

I siti web utilizzati tendono ad essere piccoli siti personali fatti con script PHP, poichè hanno meno probabilità di essere seguiti da esperti o aggiornati con le ultime patch, avendo il php più di 1800 bug la ricerca è molto ampia e facile.

Nel quarto trimestre del 2007, sono state 412 le organizzazioni prese di mira da attacchi di phishing, il 37 per cento rispetto allo stesso periodo del 2006 secondo le ultime ricerche.

I siti di aste sono stati i principali obiettivi, che rappresentano il 44 per cento delle email di phishing nel quarto trimestre, rispetto al 36 per cento nel primo trimestre del 2007.