Злоумышленники могут собирать учетные данные, чтобы использовать их для атак. Учетные данные, собранные злоумышленниками, могут быть напрямую связаны с целевой организацией или использоваться для атаки, основанной на применении пользователями одних и тех же паролей для личных и корпоративных учетных записей.

Злоумышленники могут собирать учетные данные жертв различными способами, в том числе напрямую путем фишинга с целью сбора сведений. Также злоумышленники могут скомпрометировать сайты и добавить вредоносное содержимое для сбора файлов куки при аутентификации посетителей. Кроме того, в руки злоумышленников могут попасть учетные данные, ставшие доступными в результате утечек. Такие наборы данных можно найти в интернете или других доступных источниках (например, поисковых системах, дампах похищенных данных или репозиториях кода). Злоумышленники также могут приобрести учетные данные в даркнете или на других теневых рынках. И, наконец, в случае применения жертвами многофакторной аутентификации (MFA) через внешние каналы связи злоумышленники могут скомпрометировать поставщика услуг, чтобы получить доступ к кодам MFA и одноразовым паролям (OTP).

Сбор этой информации может открыть дополнительные возможности для разведки (например, поиска на общедоступных сайтах или фишинга с целью сбора сведений) и способствовать получению операционных ресурсов (в частности, компрометации учетных записей) и (или) обеспечению первоначального доступа (например, путем эксплуатации внешних служб удаленного доступа или компрометации существующих учетных записей).