Concrètement, les agresseurs ciblent le mode de paiement de clients dans le web clandestin en recourant à une version numérique de la fraude à la facture. A l'origine, la fraude à la facture consiste à remplacer sur une facture papier le numéro de compte auquel le paiement doit être effectué, par un numéro de compte en banque contrôlé par les malfaiteurs. Mais aujourd'hui, les montants réclamés (en bitcoin) sont transférés vers un autre portemonnaie ('wallet'). Pour cela, il suffit d'injecter un JavaScript dans le navigateur du payeur.

Autre exigence: inciter le payeur à télécharger et utiliser une version 'contaminée' du navigateur Tor. Sur base de mots-clés (tels 'drugs', etc.), le payeur est alors tenté de se rendre sur des sites, où le navigateur infecté peut être téléchargé. ESET affirme que cette technique d'attaque peut faire aussi des victimes dans les transactions classiques.

Pour les paiements, ESET conseille donc de contrôler le destinataire dans l'application bancaire - un conseil issu du reste de la fraude à la facture papier. En outre, il est recommandé d'utiliser un bac à sable ('sandbox') dans le navigateur, ainsi que l'authentification multi-facteur.