クレデンシャルスタッフィング攻撃では、サイバー犯罪者は、
過去に盗まれたユーザ名およびパスワードをダークウェブから購入します。
次に、ボットを利用して他のWeb サイトのログインフィールドでこれらの
認証情報を「スタッフィング」(総当たり的に検証)することで、
不正ログインを繰り返し試み、企業ユーザまたは顧客が保持するアカウントへの
アクセス権を取得しようとします。

「スタッフィング」が成功した場合、攻撃者は、アカウントを詐欺に利用します。
この成功率は一般的に1 〜 2% です。つまり、サイバー犯罪者が、盗まれた認証情報
(ダークウェブで1 件わずか1 セントで販売²)を100 万件購入した場合、
10,000 〜 20,000 件のアカウントを取得できます。