Combo ist die Abkürzung für „Combination“, also sind Combo-Listen Listen, die Kombinationen aus Benutzernamen/E-Mail-Adressen und Passwörtern enthalten.
Sie werden für Bruteforce-Angriffe eingesetzt. Der Vorteil im Vergleich zu separaten Benutzernamen- und Passwortlisten besteht darin, dass bei Kombinationslisten eine höhere Erfolgswahrscheinlichkeit zu erwarten ist.
Sie können beispielsweise auf Datenlecks oder frühere erfolgreiche Brute-Force-Angriffe zurückzuführen sein. Die Idee ist, dass sie (früher) auf einigen Websites funktionierten, und weil Benutzer Passwörter wiederverwenden, funktionieren sie möglicherweise auch auf anderen Websites.
Dabei geht es nicht so sehr um Spam (dafür würden Listen mit E-Mail-Adressen genügen), sondern darum, sich Zugriff auf die Konten anderer Benutzer zu verschaffen. Zum Beispiel, um kostenlose Dinge zu erhalten (z. B. ein Netflix-Konto) oder für schändlichere Zwecke (Geld-, Kreditkartendiebstahl usw.).
https://security.stackexchange.com/questions/233469/what-exactly-is-a-combo-list-and-why-is-this-sit...Das heisst: Unbedingt für jedes Konto oder Account unterschiedliche, starke Passwörter verwenden.