Много вариантов у злоумышленников. Им главное хоть за что-то зацепиться... Условно ты зарегистрировался на ресурсе A, ввел данные от почты B, пароли схожи, либо чуть отличаются в некоторых местах символами. Ресурс A оказался дырявым и произошла утечка. Злоумышленник получил доступ к твоим данным, например это был салон красоты и ты оставил там номер телефона, емейл, фио и еще создал аккаунт с паролем, который хранится в незашифрованном виде или же слабый алгоритм шифрования используется. Это уже на самом деле печальная ситуация, ведь, обладая такой информацией можно очень многое узнать о человеке. В последнее время спам рассылок стало намного меньше, потому что это очень дорого и как правило злоумышленники работают точечно. Нужно быть осторожным, использовать разные пароли на всех сервисах, использовать разные почты. И знайте, что если зло проникнет в ваш акк и будет слишком много знать, то никакие двухфакторки не спасут. Я помню сам попался на вирусню, скачал что-то левое, в итоге мою почту взломали и отвязали инсту, там было 0 подписчиков, чисто авторег :d
