当前，至少有150亿个凭证在各种黑市和论坛上流传，这为网络犯罪分子提供了接管帐户攻击和身份出租服务的便利。

经过安全公司Digital Shadows的调查报告显示，多数泄露都是由于消费者自身对数据不够重视所导致的，于是黑客们可以利用这些凭证和数据，来发动凭证填充攻击。

报告显示：暴力破解工具和帐户检查程序在黑市和论坛上都有售卖，平均售价为4美元，其中最受欢迎的市场是UnderWorld(以前为RichLogs)和Tenebris，但最大的市场仍然是Genesis Market。

部分用户名和密码组合都是免费提供的，其中有50亿张凭证是“独一无二”“可售卖的”，这50亿张凭证的平均售价是15.43美元，防病毒帐户是20多美元，而其他类型的帐户(有线电视、社交媒体、流媒体、成人、音乐、文件共享和视频游戏帐户)通常不到10美元。

最昂贵的帐户是用于域管理员访问的，因为它们在网络上提供了最高级别的信任和控制，所以许多广告公司通过拍卖来提供域名管理员的访问权限，并以高达12万美元(平均3139美元)的价格将其卖给出价最高者。

这些价格的定位取决于所在行业，其中对地方政府和金融部门的要价最高。

如今凭据很少以纯文本形式出现，许多服务会检查指纹数据以识别未经授权的登录尝试。

于是黑市又开发了新的模式，比如Genesis Market的用户可以租用帐户访问权限来代替购买凭据，在一定时期内，使用最近推出的ATO“即服务”模式，罪犯可以用不到10美元的价格租用一个身份，该服务还提供了受害者的“指纹数据”(例如cookie，IP地址，时区)，使其看起来像合法的所有者登录，从而更容易劫持帐户和执行交易而不会被发现。

从直接销售数据到通过凭证填充获得对其他帐户的访问权，再到租用帐户，使用数据创建综合身份，再到进行欺诈，网络罪犯有各种各样的赚钱方法。

除了破解密码外，攻击者们可以利用来自数据泄露的凭据列表，轻松地部署凭据填充(凭据重用)攻击，从而使同一用户可以访问更多帐户，并有机会收集更多个人信息。

长期以来，Sentry MBA一直是凭证填充攻击的最爱。它具有绕过某些安全防护(例如IP位置或速率限制)的功能。这使它可以尝试使用数百万个用户名和密码的组合，以找到目标网站的有效登录名。

在网络犯罪论坛上广泛讨论的另一种工具是OpenBullet，截至2020年，已占整个网络犯罪论坛的35%，这是一种网站测试套件，可以在目标Web应用程序上运行请求。它具有开源特性，自定义选项和较低的CPU使用率，以及随附的用于解析和抓取的工具，因此使其成为有吸引力的选择。

下图显示了网络犯罪分子在2020年提到的一组凭证验证工具。

对于普通用户而言，防御ATO攻击是一项轻松的任务，他们可以选择强而唯一的密码，并在支持该功能的服务上启用两因素身份验证(2FA)，但这不能完全消除风险。