La información de tarjetas de crédito robadas sigue siendo una mercancía atractiva en el mercado negro, en 2007 este tipo de información se vendía entre 0.40 y 20 dólares por registro mientras que a finales de 2014 los precios eran similares, variando entre 0.50 y 20 dólares. El precio depende de aspectos como la marca de la tarjeta, el país de origen, la cantidad de metadatos contenidos, la cantidad de tarjetas y cómo los datos fueron robados.
Asimismo se pueden comprar 1,000 cuentas de correo electrónico por precios entre $0.50 y $10 dólares, según datos revelados por Symantec. También informó que no se tiene certeza de cuántas ventas realmente suceden o qué cantidad de compradores pagan el precio más alto de la información robada y comercializada. También resulta cuestionable la calidad de los bienes que se venden en estos sitios, ya que se sabe que algunos de ellos tratan de vender datos viejos o la misma información varias veces para incrementar sus ganancias.
Esto podría explicar por qué se ha producido un auge en la oferta de servicios agregados que verifican que las cuentas estén todavía activas o que las tarjetas de crédito no hayan sido bloqueadas. En algunos sitios del mercado negro, incluso se ofrecen garantías de que los datos que se venden están vigentes y/o de reemplazo de tarjetas de crédito en caso de que ya hayan sido bloqueadas, dentro de los primeros 15 minutos después de la compra.
Las cuentas de correo electrónico y la información bancaria no son los únicos bienes que se ofrecen en el mercado clandestino, también se encuentran: cuentas de juegos en Internet (costo: $12 hasta $3,500 dólares) y pasaportes reales escaneados que pueden ser utilizados con fines de robo de identidad (costo: $1 a $2 dólares).
Symantec mencionó también que un aspecto que ha crecido en popularidad en los últimos años es la compra-venta de servicios y el hecho de que los atacantes puedan alquilar fácilmente toda la infraestructura necesaria para realizar estafas en Internet, por lo que ya no es necesario tener gran capacidad técnica para ejecutar un ataque sino que se puede realizar con la ayuda de terceros.