Alle in diesem Abschnitt genannten Aktionen, die Einstellungen ändern, generieren eine Sicherheitswarnung an die E-Mail und sogar eine Push-Benachrichtigung an jedes mit dem Konto synchronisierte Mobilgerät.
Persistenz in Gmail
Sie können Filter erstellen, um Sicherheitsbenachrichtigungen von Google zu verbergen
Geben Sie Ihre Suchkriterien ein. Wenn Sie überprüfen möchten, ob Ihre Suche korrekt funktioniert hat, sehen Sie sich die angezeigten E-Mails an, indem Sie auf Suchen klicken.
Klicken Sie am unteren Rand des Suchfensters auf Filter erstellen.
Stellen Sie dann ein, dass alle E-Mails weitergeleitet werden, während eine Kopie behalten wird (denken Sie daran, auf Änderungen speichern zu klicken):
Es ist auch möglich, Filter zu erstellen und nur bestimmte E-Mails an die andere E-Mail-Adresse weiterzuleiten.
App-Passwörter
Wenn Sie es geschafft haben, eine Google-Benutzersitzung zu kompromittieren und der Benutzer 2FA hatte, können Sie ein App-Passwortgenerieren (folgen Sie dem Link, um die Schritte zu sehen). Beachten Sie, dass App-Passwörter von Google nicht mehr empfohlen werden und widerrufen werden, wenn der Benutzer sein Google-Konto-Passwort ändert.
Selbst wenn Sie eine offene Sitzung haben, müssen Sie das Passwort des Benutzers kennen, um ein App-Passwort zu erstellen.
App-Passwörter können nur mit Konten verwendet werden, die die 2-Schritt-Verifizierung aktiviert haben.
2-FA ändern und ähnliches
Es ist auch möglich, 2-FA auszuschalten oder ein neues Gerät (oder eine Telefonnummer) auf dieser Seite https://myaccount.google.com/security** anzumelden.**
Es ist auch möglich, Passkeys zu generieren (Ihr eigenes Gerät hinzuzufügen), das Passwort zu ändern, Mobilnummern für Verifizierungstelefone und Wiederherstellung hinzuzufügen, die Wiederherstellungs-E-Mail zu ändern und die Sicherheitsfragen zu ändern).
Um Sicherheits-Push-Benachrichtigungen zu verhindern, dass sie das Telefon des Benutzers erreichen, könnten Sie sein Smartphone abmelden (obwohl das seltsam wäre), da Sie ihn von hier aus nicht erneut anmelden können.
Es ist auch möglich, das Gerät zu lokalisieren.
Selbst wenn Sie eine offene Sitzung haben, müssen Sie das Passwort des Benutzers kennen, um diese Einstellungen zu ändern.
Persistenz über OAuth-Apps
Wenn Sie das Konto eines Benutzers kompromittiert haben, können Sie einfach alle möglichen Berechtigungen für eineOAuth-Appgewähren. Das einzige Problem ist, dass Workspace so konfiguriert werden kann, dass nicht überprüfte externe und/oder interne OAuth-Apps nicht erlaubt sind.
Es ist ziemlich üblich, dass Workspace-Organisationen standardmäßig externen OAuth-Apps nicht vertrauen, aber internen schon, also wenn Sie genug Berechtigungen haben, um eine neue OAuth-Anwendung innerhalb der Organisation zu generieren und externe Apps nicht erlaubt sind, generieren Sie sie und verwenden Sie diese neue interne OAuth-App, um Persistenz aufrechtzuerhalten.
Überprüfen Sie die folgende Seite für weitere Informationen zu OAuth-Apps:
Sie können einfach das Konto an ein anderes vom Angreifer kontrolliertes Konto delegieren (wenn Sie dazu berechtigt sind). In Workspace Organisationen muss diese Option aktiviert sein. Sie kann für alle deaktiviert, für einige Benutzer/Gruppen aktiviert oder für alle aktiviert werden (in der Regel ist sie nur für einige Benutzer/Gruppen aktiviert oder vollständig deaktiviert).
Wenn Sie ein Workspace-Administrator sind, überprüfen Sie dies, um die Funktion zu aktivieren
Als Administrator Ihrer Organisation (zum Beispiel Ihrer Arbeit oder Schule) steuern Sie, ob Benutzer den Zugriff auf ihr Gmail-Konto delegieren können. Sie können allen die Option geben, ihr Konto zu delegieren. Oder nur bestimmten Personen in bestimmten Abteilungen erlauben, die Delegation einzurichten. Zum Beispiel können Sie:
Einen Verwaltungsassistenten als Delegierten für Ihr Gmail-Konto hinzufügen, damit er E-Mails in Ihrem Namen lesen und senden kann.
Eine Gruppe, wie Ihre Verkaufsabteilung, in Gruppen als Delegierten hinzufügen, um allen Zugriff auf ein Gmail-Konto zu gewähren.
Benutzer können den Zugriff nur auf einen anderen Benutzer in derselben Organisation delegieren, unabhängig von ihrer Domain oder ihrer organisatorischen Einheit.
Delegationsgrenzen & -einschränkungen
Benutzern erlauben, den Zugriff auf ihr Postfach an eine Google-Gruppe zu gewähren: Um diese Option zu verwenden, muss sie für die OU des delegierten Kontos und für jede OU der Gruppenmitglieder aktiviert sein. Gruppenmitglieder, die zu einer OU gehören, für die diese Option nicht aktiviert ist, können nicht auf das delegierte Konto zugreifen.
Bei typischer Nutzung können 40 delegierte Benutzer gleichzeitig auf ein Gmail-Konto zugreifen. Überdurchschnittliche Nutzung durch einen oder mehrere Delegierte kann diese Zahl verringern.
Automatisierte Prozesse, die häufig auf Gmail zugreifen, können ebenfalls die Anzahl der Delegierten verringern, die gleichzeitig auf ein Konto zugreifen können. Diese Prozesse umfassen APIs oder Browsererweiterungen, die häufig auf Gmail zugreifen.
Ein einzelnes Gmail-Konto unterstützt bis zu 1.000 eindeutige Delegierte. Eine Gruppe in Gruppen zählt als ein Delegierter für das Limit.
Die Delegation erhöht nicht die Limits für ein Gmail-Konto. Gmail-Konten mit delegierten Benutzern haben die standardmäßigen Gmail-Kontolimits und -richtlinien. Für Details besuchen Sie Gmail-Limits und -richtlinien.
Schritt 1: Aktivieren Sie die Gmail-Delegation für Ihre Benutzer
Bevor Sie beginnen: Um die Einstellung für bestimmte Benutzer anzuwenden, setzen Sie deren Konten in eine organisatorische Einheit.
Zeigen Sie den Kontoinhaber und den Delegierten an, der die E-Mail gesendet hat—Nachrichten enthalten die E-Mail-Adressen des Kontoinhabers und des Delegierten.
Zeigen Sie nur den Kontoinhaber an—Nachrichten enthalten nur die E-Mail-Adresse des Kontoinhabers. Die E-Mail-Adresse des Delegierten ist nicht enthalten.
(Optional) Um Benutzern zu erlauben, eine Gruppe in Gruppen als Delegierten hinzuzufügen, aktivieren Sie das Kontrollkästchen Benutzern erlauben, den Zugriff auf ihr Postfach an eine Google-Gruppe zu gewähren.
Klicken Sie auf Speichern. Wenn Sie eine untergeordnete organisatorische Einheit konfiguriert haben, können Sie möglicherweise die Einstellungen einer übergeordneten organisatorischen Einheit erben oder überschreiben.
(Optional) Um die Gmail-Delegation für andere organisatorische Einheiten zu aktivieren, wiederholen Sie die Schritte 3–9.
Änderungen können bis zu 24 Stunden dauern, erfolgen jedoch normalerweise schneller. Erfahren Sie mehr
Schritt 2: Lassen Sie Benutzer Delegierte für ihre Konten einrichten
Nachdem Sie die Delegation aktiviert haben, gehen Ihre Benutzer zu ihren Gmail-Einstellungen, um Delegierte zuzuweisen. Delegierte können dann im Namen des Benutzers Nachrichten lesen, senden und empfangen.
Wenn Sie Gmail über Ihre Arbeit, Schule oder andere Organisation verwenden:
Sie können bis zu 1000 Delegierte innerhalb Ihrer Organisation hinzufügen.
Bei typischer Nutzung können 40 Delegierte gleichzeitig auf ein Gmail-Konto zugreifen.
Wenn Sie automatisierte Prozesse verwenden, wie APIs oder Browsererweiterungen, können einige Delegierte gleichzeitig auf ein Gmail-Konto zugreifen.
Öffnen Sie auf Ihrem Computer Gmail. Sie können Delegierte nicht über die Gmail-App hinzufügen.
Klicken Sie auf die Registerkarte Konten und Import oder Konten.
Klicken Sie im Abschnitt "Zugriff auf Ihr Konto gewähren" auf Ein weiteres Konto hinzufügen. Wenn Sie Gmail über Ihre Arbeit oder Schule verwenden, kann Ihre Organisation die E-Mail-Delegation einschränken. Wenn Sie diese Einstellung nicht sehen, wenden Sie sich an Ihren Administrator.
Wenn Sie "Zugriff auf Ihr Konto gewähren" nicht sehen, ist es eingeschränkt.
Geben Sie die E-Mail-Adresse der Person ein, die Sie hinzufügen möchten. Wenn Sie Gmail über Ihre Arbeit, Schule oder andere Organisation verwenden und Ihr Administrator dies erlaubt, können Sie die E-Mail-Adresse einer Gruppe eingeben. Diese Gruppe muss dieselbe Domain wie Ihre Organisation haben. Externe Mitglieder der Gruppe wird der Delegationszugriff verweigert.
Wichtig: Wenn das Konto, das Sie delegieren, ein neues Konto ist oder das Passwort zurückgesetzt wurde, muss der Administrator die Anforderung deaktivieren, das Passwort beim ersten Anmelden zu ändern.
Die Person, die Sie hinzugefügt haben, erhält eine E-Mail, in der sie um Bestätigung gebeten wird. Die Einladung läuft nach einer Woche ab.
Wenn Sie eine Gruppe hinzugefügt haben, werden alle Gruppenmitglieder ohne Bestätigung zu Delegierten.
Hinweis: Es kann bis zu 24 Stunden dauern, bis die Delegation wirksam wird.
Persistenz über Android-App
Wenn Sie eine Sitzung im Google-Konto des Opfers haben, können Sie zum Play Store navigieren und möglicherweise Malware installieren, die Sie bereits in den Store hochgeladen haben, direkt auf das Telefon, um Persistenz aufrechtzuerhalten und auf das Telefon des Opfers zuzugreifen.
Persistenz über App-Skripte
Sie können zeitbasierte Trigger in App-Skripten erstellen, sodass, wenn das App-Skript vom Benutzer akzeptiert wird, es ausgelöst wird, auch ohne dass der Benutzer darauf zugreift. Für weitere Informationen darüber, wie Sie dies tun können, überprüfen Sie:
Klicken Sie im Suchfeld oben auf Suchoptionen anzeigen .
Melden Sie sich mit einem Administrator-Konto an, nicht mit Ihrem aktuellen Konto CarlosPolop@gmail.com 2. Gehen Sie in der Admin-Konsole zu Menü AppsGoogle WorkspaceGmailBenutzereinstellungen. 3. Um die Einstellung für alle anzuwenden, lassen Sie die oberste organisatorische Einheit ausgewählt. Andernfalls wählen Sie eine untergeordnete organisatorische Einheit. 4. Klicken Sie auf Mail-Delegation. 5. Aktivieren Sie das Kontrollkästchen Benutzern erlauben, den Zugriff auf ihr Postfach an andere Benutzer in der Domain zu delegieren. 6. (Optional) Um Benutzern zu erlauben, anzugeben, welche Absenderinformationen in delegierten Nachrichten enthalten sind, die von ihrem Konto gesendet werden, aktivieren Sie das Kontrollkästchen Benutzern erlauben, diese Einstellung anzupassen. 7. Wählen Sie eine Option für die standardmäßigen Absenderinformationen, die in von Delegierten gesendeten Nachrichten enthalten sind:
Klicken Sie oben rechts auf Einstellungen Alle Einstellungen anzeigen.
Klicken Sie auf Nächster SchrittE-Mail senden, um Zugriff zu gewähren.
