Il tipo di danno che sorge da un malware entrato nel sistema dipende sempre dai motivi dell’aggressore. In alcuni casi l’attacco è diretto al gestore e l’intero sito web viene paralizzato o viene caricato un contenuto sbagliato. I criminali a volte arrivano anche a richiedere un riscatto dai gestori e minacciano di cessare l’attacco solo dopo il pagamento: un sito web infetto comporta una perdita di traffico e di denaro.
Inoltre, viene messa a dura prova anche la fiducia del visitatore e/o cliente, che spesso paga il prezzo più alto di un attacco malware. In molti casi il sito coinvolto è soltanto l’ospite di script dannosi: tramite URL contraffatti il malware integrato riesce ad accedere ai computer dei visitatori su cui si installa in modo automatico, a meno che l’antivirus dell’utente non lo impedisca. Insieme ai virus, che danneggiano il sistema del computer, i criminali inviano in tal modo soprattutto spyware e keylogger, tramite i quali vengono raccolte informazioni sugli utenti. Così i visitatori di siti web rischiano, nella peggiore delle ipotesi, il furto di informazioni riservate come coordinate bancarie e password.
Oltre alla perdita di immagine, di clienti e di visitatori, il gestore di un sito web rischia anche conseguenze legali, nel caso in cui le misure di sicurezza necessarie non fossero state rispettate. Inoltre dovrebbe mettere in conto eventuali penalizzazioni da parte dei motori di ricerca, soprattutto in uno scenario apparentemente innocuo, in cui è stato inviato “solo” spam attraverso un attacco malware.