Last updated
Ελέγξτε πώς μπορείτε να χρησιμοποιήσετε διάφορες πλατφόρμες της Google, όπως ο Drive, ο Chat, οι Ομάδες... για να στείλετε στο θύμα έναν σύνδεσμο απάτης και πώς να πραγματοποιήσετε μια απάτη OAuth της Google στο:
Για να δοκιμάσετε κωδικούς πρόσβασης με όλα τα ηλεκτρονικά ταχυδρομεία που βρήκατε (ή που δημιουργήσατε βάσει ενός προτύπου ονόματος ηλεκτρονικού ταχυδρομείου που μπορεί να έχετε ανακαλύψει), μπορείτε να χρησιμοποιήσετε ένα εργαλείο όπως το https://github.com/ustayready/CredKing (αν και φαίνεται ότι δεν συντηρείται) το οποίο θα χρησιμοποιήσει τις λειτουργίες AWS lambdas για να αλλάξει τη διεύθυνση IP.
Εάν έχετε αποκτήσει πρόσβαση σε ορισμένα διαπιστευτήρια ή στη συνεδρία του χρήστη, μπορείτε να πραγματοποιήσετε διάφορες ενέργειες για να αποκτήσετε πρόσβαση σε πιθανές ευαίσθητες πληροφορίες του χρήστη και να προσπαθήσετε να αναβαθμίσετε τα δικαιώματά σας:
Εάν έχετε αποκτήσει πρόσβαση σε ορισμένα διαπιστευτήρια ή στη συνεδρία του χρήστη, ελέγξτε αυτές τις επιλογές για να διατηρήσετε την επιμονή πάνω σε αυτή:
Αποσυνδεθείτε από όλες τις συνεδρίες
Αλλάξτε τον κωδικό χρήστη
Δημιουργήστε νέους κωδικούς εφεδρικής αντιγραφής 2FA
Αφαιρέστε τους κωδικούς εφαρμογών
Αφαιρέστε τις εφαρμογές OAuth
Αφαιρέστε τις συσκευές 2FA
Αφαιρέστε τους προωθητές ηλεκτρονικού ταχυδρομείου
Αφαιρέστε τα φίλτρα ηλεκτρονικού ταχυδρομείου
Αφαιρέστε το ανάκτησης ηλεκτρονικού ταχυδρομείου/τηλεφώνου
Αφαιρέστε κακόβουλες συγχρονισμένες έξυπνες συσκευές
Αφαιρέστε κακές εφαρμογές Android
Αφαιρέστε κακές αναθέσεις λογαριασμού
https://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - Hacking G Suite: The Power of Dark Apps Script Magic
https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch and Beau Bullock - OK Google, How do I Red Team GSuite?
