Злоумышленники могут перехватывать незащищенные учетные данные, которые пользователи сохраняют в сервисах и приложениях для общения и совместной работы или передают через них. Учетные данные могут передаваться и храниться в приложениях для обмена сообщениями, таких как электронная почта, чат-сервисах, например Slack или Teams, инструментах для совместной работы, например Jira или Trello, и других сервисах, обеспечивающих взаимодействие пользователей. Пользователи могут передавать друг другу разные типы учетных данных (имена пользователей и пароли, ключи API или токены аутентификации) в частных или публичных корпоративных каналах связи.

Вместо поиска по сохраненным журналам разговоров (техника Учетные данные в файлах), злоумышленники могут извлечь учетные данные непосредственно с пользовательских устройств, серверов, на которых размещены эти сервисы, или через порталы администраторов облачных сервисов. Злоумышленники также могут компрометировать средства интеграции, например Workflow в Slack, для автоматического поиска сообщений, содержащих учетные данные, и их извлечения. Этими учетными данными они могут воспользоваться на последующих этапах атак, например для перемещения внутри периметра или повышения уровня привилегий.