Зачем воровать куки–то? Делаем сразу скрипт, который от имени юзера делает с сайтом что угодно. Понятно, такое предотвращается банальными content-security-policy/x-frame-options, но средний веб–девелопер такое говно, что пройдут годы, пока их внедрят повсеместно. Россиянские инет–магазины на Битриксе обычно никак не защищены, например.