Account Harvesting adalah proses pengumpulan nama akun yang sah di dalam suatu sistem. Penjahat siber melakukan account harvesting untuk mendapatkan daftar akun pengguna yang valid dalam sistem target, yang nantinya dapat digunakan untuk melancarkan serangan lebih lanjut, seperti percobaan login brute force atau phishing.

Proses account harvesting biasanya dilakukan dengan cara:

1. Eksploitasi Celah Keamanan: Penjahat siber dapat memanfaatkan kerentanan dalam sistem, situs web, atau aplikasi untuk mengekstrak nama akun yang valid.
2. Pencarian Melalui Error Message: Beberapa aplikasi atau situs web memberikan pesan kesalahan yang berbeda saat akun yang tidak valid atau akun yang valid digunakan saat mencoba login. Informasi ini bisa digunakan untuk menemukan akun-akun yang sah.
3. Scraping dari Sumber Publik: Nama akun juga bisa dikumpulkan dari sumber yang terbuka atau publik, seperti forum, media sosial, atau halaman profil.

Setelah nama-nama akun dikumpulkan, penyerang dapat mencoba mendapatkan akses ke akun tersebut melalui metode seperti serangan credential stuffing (menggunakan kredensial yang bocor dari layanan lain), brute force (mencoba berbagai kombinasi kata sandi), atau serangan phishing untuk mendapatkan informasi login. Untuk melindungi diri dari account harvesting, penting untuk menggunakan autentikasi multifaktor (MFA), menjaga sistem tetap diperbarui, dan meminimalkan informasi yang bisa diakses publik.