Co se týče prohlížečů, asi čtvrtina z útočníků podle Royala používá Operu, proti které se pokusy o zneužití chyb provádějí relativně zřídka. Jinak Opera dosahuje s bídou 2% podílu na trhu (pokud se tedy v případě webových prohlížečů dá o nějakém trhu vůbec hovořit).
Společnost Purewire získala tyto informace tak, že sledovala uživatele toolkitu LuckySploit. Tento často používaný toolkit obsahuje sady pro zneužití zranitelností v Internet Exploreru, ovládacích prvcích ActiveX, přehrávači Flash a Adobe Readeru. Slouží především pro útoky typu drive-by, kdy podvodníci rozesílají spam obsahující odkazy na server s útočným kódem. Pokud uživatel na odkaz klikne, k infekci může dojít i bez provedení další akce, v některých případech dokonce i tehdy, když má aktualizované verze nejčastěji zranitelných programů.
Díky chybě v nástroji LuckySploit se útočníci sami stali vysledovatelnými a Purewire o jejich zvyklostech má nyní k dispozici řadu informací, kromě prohlížeče zná i jejich IP adresy.
Ukázalo se například, že podvodníci se snaží zabránit tomu, aby byli spojováni se servery, kde jsou jejich sady spuštěny. Velká většina z nich používá počítač s IP adresou z jiné země, než kde je hostován server.