Se trata de arquetipos de ataque a la identidad y se han puesto de moda como medio para lastimar la reputación digital de un adversario. Entrar en el correo ajeno es una forma de dañar su imagen. El atacante accederá a e-mails privados que le revelarán datos de su vida personal y que pueden ser publicados en Internet.
El modus operandi se basa en que probar con los 100 passwords más comúnmente utilizados por los usuarios. Estos suelen incluir nombres de ciudades, hijos, pareja, mascotas, día o año de nacimiento, etc…
La mayor parte de formularios suelen tener un máximo de 3 a 4 intentos por cada 24h para lograr loguearse. Los delincuentes conocen estos límites e intentan acceder en periodos diferenciados de 24 horas multiplicando sus probabilidades de entrar con éxito.
En muchos casos se provoca que la cuenta de e-mail de la víctima se bloquee. Cuando el usuario legítimo intenta entrar en su correo estará bloqueado e intentará configurar otro password más fácil de recordar.
Password sprying y ataques de diccionario
Los usuarios suelen utilizar contraseñas comunes tales como fechas de nacimiento, nombre de uno de sus hijos o ciudad de residencia. Otro riesgo consiste en la reutilización de contraseñas mediante la cual el usuario utiliza un mismo password para entrar en todas las plataformas donde está dado de alta.
