Skimmer gruplarının; skimmer script dosyalarını gizlemek için Google analytics ve Telegram gibi meşru hizmetleri kötüye kullandığı tespit edilmiştir. Saldırganlar kullandıkları scriptler sanki meta taglermiş gibi yerleştirmektedir. Script yerleştirmek için yeni alan adları, devletlerin yasal işlemlerini yürüttükleri alan adlarına benzer kelimelerle açılmış web siteleri ya da hizmetlerine benzer adlarla açılmış web siteleri tercih edilmekteditr. Zararlı script genelde tüm sayfalara yerleştirilmek yerine sadece ödeme sayfalarına yerleştirilmektedir. Böylelikle uzun süre fark edilmeden site üzerinde kalabilmektedirler.
FakeClicky skimmer, böyle bir skimmerdır. FakeClicky, yeni kayıtlı alan adlarından yararlanır, yükleyici olarak sahte bir Google Analytics komut dosyası kullanır ve ödeme sayfasına kötü amaçlı skimmer kodu enjekte eder.
Analiz sırasında, bu skimmer’ın son etkinliğiyle ilgili yeni kayıtlı alanların çoğunun 195.54.160[.]61 IP adresini çözümlendiği ve gelecekte kullanılabilecek birçok benzer alan olduğu gözlemlenmiştir. Bu alan adlarının çoğu Eylül ve Ağustos aylarında kaydedilmiştir, ancak birkaçı bu yılın Nisan ayından bu yana aktif alan adlarıdır. (Detaylı Analiz)