Els ciberdelinqüents saben que aconseguir credencials és la porta d’accés a molta informació de valor.

Les contrasenyes són, en l’actualitat, una clau d’accés molt important a múltiple informació tant personal com professional. Cada dia s’usen per a entrar a aplicacions de tota mena: des de les relacionades amb el treball fins als comptes de xarxes socials. Els ciberdelinqüents en són molt conscients del valor que s’amaga rere aquest conjunt de caràcters, i per això, cada dia llancen milions d’atacs de diferents tipus per poder prendre’ls’hi als usuaris.

El furt de contrasenyes permet als ciberdelinqüents accedir a informació personal com a dades bancàries, informació de targetes de crèdit, correus electrònics i xarxes socials. Aquesta informació pot ser utilitzada per cometre frau, furt d’identitat o altres delictes.

També els permeten accedir a sistemes corporatius, la qual cosa pot donar-los accés a informació confidencial de l’empresa o fins i tot permetre’ls prendre el control dels sistemes.

Però a més, aconseguir contrasenyes de qualsevol usuari és un mètode també emprat per extorsionar les víctimes, amenaçant-les de revelar informació comprometedora. Així mateix, els delinqüents poden utilitzar les contrasenyes per a distribuir programari maliciós a través de correus electrònics o llocs web falsos o fins i tot poden vendre aquestes credencials a la dark web a altres delinqüents.

Per tal de dur a terme el furt de contrasenyes, els ciberdelinqüents duen a terme una sèrie de mètodes. Aquests són els més comuns:

• Phishing: els ciber-atacants envien correus electrònics falsos que semblen ser d’empreses legítimes, com a bancs o llocs web de compres en línia, per enganyar els usuaris perquè ingressin les seves credencials d’inici de sessió en un lloc web fals. Els llocs web falsos s’assemblen molt als reals i sovint, s’utilitzen tècniques d’enginyeria social per fer que els usuaris confiïn en ells.
• Keylogging: es tracta d’un programari maliciós instal·lat en un dispositiu d’un usuari capaç de registrar totes les pulsacions de tecles, incloses les contrasenyes, i enviar-les a un servidor remot controlat pels delinqüents.
• Atacs de força bruta: els delinqüents empren programari per intentar endevinar les contrasenyes mitjançant combinacions comunes de paraules, números i símbols.Suplantació d’identitat: els delinqüents poden fer-se passar per una persona legítima i sol·licitar les credencials d’inici de sessió de la víctima, per exemple, fent-se passar per un empleat de suport tècnic.
• Xarxes wifi públiques no segures: els delinqüents poden fer servir les xarxes de wifi públiques que manquen de seguretetat per tal d’interceptar les comunicacions entre el dispositiu de l’usuari i els llocs web que visita, la qual cosa els permet capturar credencials d’inici de sessió i altres dades confidencials.