🔐 Credential Harvesting — повний гайд по техніках викрадення облікових даних

Credential Harvesting — це один з найнебезпечніших типів кіберзагроз, спрямований на викрадення логінів, паролів, токенів доступу, cookies, ключів API та будь-якої інформації, що дозволяє зловмиснику увійти у систему від імені жертви. На відміну від брутфорсу чи перебору паролів, атаки Credential Harvesting фокусуються на отриманні реальних облікових даних користувача: шляхом обману, технічних маніпуляцій або компрометації платформ.

Сьогодні це головний вектор компрометації в атаках проти звичайних користувачів, компаній будь-якого масштабу, урядів, банківських систем і навіть критичної інфраструктури. Більше 80% успішних зламів починаються саме з викрадення облікових даних.

📌 Зміст

• 1. Що таке Credential Harvesting
• 2. Основні цілі атак
• 3. Техніки викрадення облікових даних
• 4. Використання шкідливого ПЗ для крадіжки credentialів
• 5. Викрадення даних у браузерах
• 6. Cloud Credential Harvesting
• 7. Приклади реальних атак
• 8. Як зловмисники використовують вкрадені дані
• 9. Методи захисту

🔎 1. Що таке Credential Harvesting

Credential Harvesting — це процес збору облікових даних користувача зловмисником. Дані включають:

• логін + пароль
• cookies авторизації
• OAuth-токени
• JWT-токени
• SSH ключі
• VPN-конфігурації
• ключі API
• дані автозаповнення браузера
• паролі до корпоративних систем

Мета атаки — отримати доступ до системи без шуму, непомітно та бажано надовго.

🎯 2. Основні цілі атак Credential Harvesting

• Корпоративні акаунти (Microsoft 365, Google Workspace)
• Адміністративні панелі (cPanel, ISPmanager, CMS)
• SaaS-сервіси (Notion, Slack, Jira, AWS, GitHub)
• Банківські акаунти та криптогаманці
• VPN, RDP, SSH для доступу в корпоративну мережу
• Соціальні мережі (для BEC, соціальної інженерії)
• Електронна пошта — головний інструмент компрометації

Компанії втрачають мільярди доларів щороку саме через скомпрометовані паролі.

🧰 3. Техніки Credential Harvesting

3.1 Фішинг (Phishing)

Найпопулярніший метод викрадення облікових даних. Зловмисник створює підробні сторінки:

• Microsoft / Office 365 Login
• Google Login
• Meta / Instagram
• банківські сторінки
• системи доставки

Фішингові методи включають:

• Email-фішинг
• Spear-phishing — таргетована атака на конкретну людину
• Clone-phishing — підробка реального листа
• Credential-Harvest фішинг з MFA bypass

3.2 MFA Fatigue Attack

Техніка, яка змушує жертву натиснути “Approve” у додатку MFA після десятків пуш-сповіщень.

3.3 Витік паролів через підроблені VPN-портали

Зловмисники створюють фальшиві VPN login portals, схожі на:

• Cisco AnyConnect
• Palo Alto GlobalProtect
• Fortinet VPN

3.4 Proxy-інструменти для перехоплення credentialів

Поширена техніка: жертва переходить на посилання, яке автоматично проксуює реальний сайт через сервер зловмисника.

Для цього використовують:

• Evilginx2
• Muraena
• Modlishka

Ці системи перехоплюють:

• логін і пароль
• cookies
• токени MFA

3.5 Маніпуляція OAuth

Злам через підроблений запит авторизації:

• “Увійдіть через Google”
• “Увійдіть через Facebook”
• “Sign in with Microsoft”

Якщо користувач дозволяє доступ — зловмисник отримує токен і повний контроль над акаунтом без пароля.

3.6 Викрадення токенів з локальної системи

Застосовується шкідливими програмами, які витягують:

• Windows Tokens
• Chrome/Edge cookies
• Discord tokens
• Steam session files

🦠 4. Malware для Credential Harvesting

Більшість сучасного шкідливого ПЗ орієнтується саме на крадіжку credentialів. Основні типи:

4.1 Infostealers

Найбільша категорія шкідливого ПЗ. Вони збирають:

• логіни/паролі з браузерів
• кредитні картки
• cookies
• автозаповнення
• вміст clipboard
• дані криптогаманців

Популярні Infostealers:

• RedLine Stealer
• Raccoon
• Stealc
• Lumma
• Vidar
• MetaStealer

4.2 Keyloggers

Записують натискання клавіш, зокрема паролі в полях, де браузер не зберігає credentials.

4.3 RAT (Remote Access Trojans)

Дають повний доступ до системи жертви та збір паролів у реальному часі.

🧩 5. Викрадення credentialів із браузерів

Більшість користувачів навіть не підозрює, що браузери зберігають паролі локально в зашифрованому вигляді.

Stealer-и зазвичай працюють так:

1. Знаходять базу введених паролів Chrome/Edge/Firefox (Login Data)
2. Витягують майстер-ключ Windows DPAPI
3. Розшифровують збережені логіни
4. Крадуть cookies (для обходу логіну)
5. Передають дані на C2 сервер

Це дозволяє зловмиснику увійти в акаунти жертви навіть без знання пароля.

☁ 6. Cloud Credential Harvesting

Хмари (Azure, GCP, AWS) стали головними цілями через:

• високий рівень доступу
• велику кількість токенів
• взаємозв’язки з корпоративними ресурсами

Поширені техніки:

• викрадення токенів AWS CLI
• крадіжка service account keys
• злам OAuth-дозволів
• компрометація Azure AD Session Cookies

📌 7. Реальні приклади атак Credential Harvesting

📍 Атака на Uber (2022)

Жертва стала жертвою MFA Fatigue + Social Engineering. Зловмисник отримав доступ до корпоративного Slack, AWS та GCP.

📍 Атака на Colonial Pipeline (2021)

Пароль до VPN просочився через попередній витік. Компанія втратила контроль над системою управління трубопроводом.

📍 Атаки на Microsoft 365

Фішингові листи масово збирали паролі адмінів через Evilginx2.

🎯 8. Як зловмисники використовують вкрадені credentialи

• продаж на dark markets
• BEC (Business Email Compromise)
• шахрайство з платежами
• вимагачі (ransomware) для початкового доступу
• атаки на хмарні інфраструктури
• шпигунство

🛡 9. Як захиститися

✔ Використовуйте парольні менеджери

Вони генерують унікальні паролі та не дають вводити паролі на підроблених сайтах.

✔ Використовуйте FIDO2 ключі (YubiKey)

Єдиний спосіб повністю захиститися від Evilginx2 та фішингу токенів.

✔ Увімкніть MFA, але:

• НЕ використовуйте SMS
• краще — апаратні ключі

✔ Антивірус + EDR

Стопить infostealers.

✔ Моніторинг Dark Web для вашої компанії

✔ Захист браузера, заборона зберігання passwordів

🏁 Висновок

Credential Harvesting — це ключовий вектор атаки у сучасному кіберсвіті. Зловмисники використовують десятки технік: від фішингу до викрадення токенів та cookies, від зараження шкідливим ПЗ до перехоплення OAuth та обходу MFA.

Розуміння механізмів крадіжки облікових даних дозволяє організувати надійний захист: використання FIDO2 ключів, моніторинг безпеки, навчання співробітників та контроль активності у хмарних системах.

Безпека починається з контролю доступу — і вона закінчується там же.