Credential Harvesting

So funktioniert es

Eine Harvesting-Seite kopiert den Login-Bildschirm einer Brand und greift alles ab, was das Opfer eingibt, und leitet es manchmal in Echtzeit an die echte Seite weiter, um Multi-Faktor-Authentifizierung auszuhebeln. Die gestohlenen Zugangsdaten werden dann direkt genutzt, verkauft oder in Credential-Stuffing-Tools gegen andere Dienste eingespeist.

Diese Seiten werden mit Phishing-Kits massenhaft erstellt und auf Lookalike- oder kompromittierten Domains gehostet.

Bezug zur Brand-Impersonation

Credential Harvesting ist der Ertrag der meisten Brand-Impersonation-Phishing-Angriffe: Ihre Login-Seite, gefälscht, um den Zugang Ihrer Kunden zu stehlen. Die Seite zu entfernen stoppt das Sammeln.

So hilft nebty

nebty erkennt Harvesting-Seiten, die Ihren Login imitieren, und entfernt sie auf Abruf, mit parallelem Blacklisting, damit Nutzer während des Takedowns gewarnt werden.

Warum MFA keine vollständige Antwort ist

Harvesting war früher einfach: Ein gefälschter Login griff Benutzername und Passwort ab, und Multi-Faktor-Authentifizierung machte die Wiederverwendung des Gestohlenen weitgehend zunichte. Angreifer passten sich an. Moderne Harvesting-Kits leiten den Login in Echtzeit an die echte Seite weiter, sodass das Opfer den echten MFA-Schritt abschließt und das Kit das resultierende Sitzungs-Token abgreift, das den Angreifer mit bereits erfüllter MFA anmeldet. Deshalb zählen phishing-resistente Verfahren wie Passkeys und Hardware-Schlüssel, denn sie binden den Login an die echte Domain und authentifizieren nicht gegen einen Lookalike. Für alle anderen ist die Seite selbst der Schwachpunkt: Sie liegt auf einer Lookalike- oder kompromittierten Domain, die das Monitoring erkennen kann, und sie zu entfernen, mit parallelem Blacklisting, stoppt das Sammeln unabhängig davon, welche MFA die Opfer nutzten.