個人情報やメールアドレスは通常、攻撃者と名簿業者やスパムメール業者などの間で売買されている。またオンラインゲームのアカウントは、普通に取引サイトで売買されている。表向きはゲームをする時間がない人が時間を金で買うために、「アカウント＋レアなアイテムや経験値」という形で売られている。一方、クレジットカード情報の場合は、売買取引ではなく、カード番号、有効期限に加えて当該サイトにログインするためのパスワードを詐取することで、通販サイトで換金しやすい航空券やイベントの入場券などのチケットや商品を購入し、それらを金券ショップや再販売などで現金化しているようだ。

1つ付け加えたいのは、攻撃者がDBを狙っているのなら、DB側でも何らかの対策を行っておく必要があるということだ。実際には「データレベルのアクセス制御」「重要操作のロギングと不正アクセス検知」「重要データの暗号化」などである。