금융정보 탈취를 위한 파밍 악성코드는 2013년부터 활발하게 감염을 시도하고 있는 상황이다. 이에 따라 금융정책 당국 및 금융기관에서도 여러 수준의 경고를 통해 사용자에게 주의를 환기 시키고 위험성을 당부하고 있다. 그러나 이미 2013년 상반기에만 2012년 전체의 피해를 상회하는 피해금액이 발생된 상태에서 보듯 확산일로에 있다. 피해확산의 원인 중 가장 큰 부분은 불특정 다수를 겨냥한 대량 감염이며, 대량 감염을 위해 웹서비스를 방문함과 동시에 감염되는 Drive by download 공격을 공격자들이 이용하고 있기 때문이다.
 
2012년까지만 해도 웹서비스를 통한 악성코드 감염은 게임계정 탈취가 대세를 이루고 있었으나 2013년 시작부터 금융 정보 탈취로 대거 선회하고 있는 상황이라 피해 급증은 충분히 예상된 상황이다. 일반 소비자 및 사용자들의 커뮤니티에도 낯설지 않게 파밍 관련 피해에 대한 글들이 올라오는 상황이라 피해 범위는 보다 광범위하고 오래갈 것으로 예상된다.
 
초기의 파밍은 금융기관의 Domain 주소를 공격자 IP로 지정하는 Hosts 파일에 대한 변조가 주를 이루었고 이후 Hosts 파일에 대한 모니터링과 감시가 강화되자 Hosts.ics 파일을 이용한 주소 변조가 다수를 이룬 것을 관찰 할 수 있다. 일반적으로 금융기관에 직접 접근 하는 횟수가 많지 않은 상황에서 공격자들은 추가적으로 메일 및 국내 대형 포털들의 주소까지도 위장하도록 하여 사용자를 유인할 만큼 적극적인고 대범한 공격들을 실행하고 있는 상황이다.

 
포털 주소를 위장한 사례의 경우 가짜 사이트를 만들어서 연결되도록 하고 URL은 동일하더라도 공격자의 IP로 연결 되도록 한 상황이다. 실시간으로 뉴스와 기사가 업데이트 되는 포털들의 변화가 관찰 되지 않으므로 조금만 주의를 기울이면 문제를 알 수 있는 상황이다. 또한 전방위적으로 금융감독원을 사칭한 팝업창은 악성코드라는 주의가 다수의 언론매체를 통해 보도가 된 상황이라 사용자들도 높은 경각심을 가진 상황이 된다.

 
9월초에 처음 발견된 공격 유형은 팝업창이 아닌 배너를 통한 파밍 공격이 최초 발견 되었다.  팝업창에 대한 주의가 높아짐에 따라 공격 형태를 변경한 것을 확인 할 수 있다. 이 경우에도 실제 포털과는 관계 없는 공격자가 인위적으로 만든 포털 사이트 첫 화면에서 배너만 파밍 사이트로 연결되도록 구성한 것이 관찰된다. 주된 공격 형태는 포털사이트의 주소와 주요 메일에 대한 주소를 Hosts 파일과 Hosts.ics 파일을 통해 공격자의 파밍 사이트 주소로 설정해 둔 상태라 할 수 있다. 이 사례의 경우에도 실시간 검색과 같은 변화나 기사에 대한 변동 등은 없는 상태임을 확인 할 수 있다.