Toutes les actions mentionnées dans cette section qui modifient les paramètres généreront une alerte de sécurité par e-mail et même une notification push sur tout mobile synchronisé avec le compte.
Persistance dans Gmail
Vous pouvez créer des filtres pour masquer les notifications de sécurité de Google
Entrez vos critères de recherche. Si vous voulez vérifier que votre recherche a fonctionné correctement, consultez les e-mails qui apparaissent en cliquant sur Rechercher.
En bas de la fenêtre de recherche, cliquez sur Créer un filtre.
Choisissez ce que vous souhaitez que le filtre fasse.
Ensuite, configurez pour transférer tous les e-mails tout en conservant une copie (n'oubliez pas de cliquer sur enregistrer les modifications) :
Il est également possible de créer des filtres et de transférer uniquement des e-mails spécifiques à l'autre adresse e-mail.
Mots de passe d'application
Si vous avez réussi à compromettre une session utilisateur Google et que l'utilisateur avait 2FA, vous pouvez générer un mot de passe d'application (suivez le lien pour voir les étapes). Notez que Google ne recommande plus les mots de passe d'application et les révoque lorsque l'utilisateur change son mot de passe de compte Google.
Même si vous avez une session ouverte, vous devrez connaître le mot de passe de l'utilisateur pour créer un mot de passe d'application.
Les mots de passe d'application ne peuvent être utilisés qu'avec des comptes ayant la validation en deux étapes activée.
Modifier l'authentification à deux facteurs et similaire
Il est également possible de désactiver l'authentification à deux facteurs ou d'inscrire un nouveau périphérique (ou numéro de téléphone) sur cette page https://myaccount.google.com/security.Il est également possible de générer des clés d'accès (ajouter votre propre appareil), de changer le mot de passe, d'ajouter des numéros de téléphone pour la vérification des téléphones et la récupération, de changer l'e-mail de récupération et de changer les questions de sécurité).
Pour empêcher les notifications push de sécurité d'atteindre le téléphone de l'utilisateur, vous pourriez déconnecter son smartphone (bien que cela soit étrange) car vous ne pouvez pas le reconnecter à partir d'ici.
Il est également possible de localiser l'appareil.
Même si vous avez une session ouverte, vous devrez connaître le mot de passe de l'utilisateur pour modifier ces paramètres.
Persistance via les applications OAuth
Si vous avez compromis le compte d'un utilisateur, vous pouvez simplement accepter d'accorder toutes les permissions possibles à une application OAuth. Le seul problème est que Workspace peut être configuré pour interdire les applications OAuth externes et/ou internes non examinées.
Il est assez courant pour les organisations Workspace de ne pas faire confiance par défaut aux applications OAuth externes mais de faire confiance aux internes, donc si vous avez suffisamment de permissions pour générer une nouvelle application OAuth à l'intérieur de l'organisation et que les applications externes sont interdites, générez-la et utilisez cette nouvelle application OAuth interne pour maintenir la persistance.
Consultez la page suivante pour plus d'informations sur les applications OAuth :
Vous pouvez simplement déléguer le compte à un compte différent contrôlé par l'attaquant (si vous êtes autorisé à le faire). Dans les organisations Workspace, cette option doit être activée. Elle peut être désactivée pour tout le monde, activée pour certains utilisateurs/groupes ou pour tout le monde (généralement elle est uniquement activée pour certains utilisateurs/groupes ou complètement désactivée).
Si vous êtes un administrateur Workspace, consultez ceci pour activer la fonctionnalité
En tant qu'administrateur de votre organisation (par exemple, votre travail ou votre école), vous contrôlez si les utilisateurs peuvent déléguer l'accès à leur compte Gmail. Vous pouvez permettre à tout le monde d'avoir la possibilité de déléguer leur compte. Ou, permettre uniquement aux personnes de certains services de configurer la délégation. Par exemple, vous pouvez :
Ajouter un assistant administratif en tant que délégué sur votre compte Gmail afin qu'il puisse lire et envoyer des e-mails en votre nom.
Ajouter un groupe, tel que votre service commercial, dans les groupes en tant que délégué pour donner à tout le monde accès à un compte Gmail.
Les utilisateurs ne peuvent déléguer l'accès qu'à un autre utilisateur de la même organisation, indépendamment de leur domaine ou de leur unité organisationnelle.
Limites et restrictions de la délégation
Option Autoriser les utilisateurs à accorder l'accès à leur boîte aux lettres à un groupe Google : Pour utiliser cette option, elle doit être activée pour l'OU du compte délégué et pour chaque OU des membres du groupe. Les membres du groupe appartenant à une OU sans cette option activée ne peuvent pas accéder au compte délégué.
Avec une utilisation typique, 40 utilisateurs délégués peuvent accéder à un compte Gmail en même temps. Une utilisation supérieure à la moyenne par un ou plusieurs délégués pourrait réduire ce nombre.
Les processus automatisés qui accèdent fréquemment à Gmail pourraient également réduire le nombre de délégués pouvant accéder à un compte en même temps. Ces processus incluent les API ou les extensions de navigateur qui accèdent fréquemment à Gmail.
Un seul compte Gmail prend en charge jusqu'à 1 000 délégués uniques. Un groupe dans les groupes compte comme un délégué vers la limite.
La délégation n'augmente pas les limites d'un compte Gmail. Les comptes Gmail avec des utilisateurs délégués ont les limites et politiques standard des comptes Gmail. Pour plus de détails, visitez Limites et politiques Gmail.
Étape 1: Activer la délégation Gmail pour vos utilisateurs
Avant de commencer : Pour appliquer le paramètre pour certains utilisateurs, placez leurs comptes dans une unité organisationnelle.
Afficher le propriétaire du compte et le délégué ayant envoyé l'e-mail—Les messages incluent les adresses e-mail du propriétaire du compte Gmail et du délégué.
Afficher uniquement le propriétaire du compte—Les messages incluent l'adresse e-mail uniquement du propriétaire du compte Gmail. L'adresse e-mail du délégué n'est pas incluse.
(Facultatif) Pour permettre aux utilisateurs d'ajouter un groupe dans Groupes en tant que délégué, cochez la case Autoriser les utilisateurs à accorder l'accès à leur boîte aux lettres à un groupe Google.
Cliquez sur Enregistrer. Si vous avez configuré une unité organisationnelle enfant, vous pourrez peut-être Hériter ou Remplacer les paramètres d'une unité organisationnelle parente.
(Facultatif) Pour activer la délégation Gmail pour d'autres unités organisationnelles, répétez les étapes 3 à 9.
Les modifications peuvent prendre jusqu'à 24 heures mais se produisent généralement plus rapidement. En savoir plus
Étape 2: Demandez aux utilisateurs de configurer des délégués pour leurs comptes
Après avoir activé la délégation, vos utilisateurs se rendent dans leurs paramètres Gmail pour attribuer des délégués. Les délégués peuvent ensuite lire, envoyer et recevoir des messages au nom de l'utilisateur.
Si vous utilisez Gmail via votre travail, votre école ou une autre organisation :
Vous pouvez ajouter jusqu'à 1000 délégués au sein de votre organisation.
Avec une utilisation normale, 40 délégués peuvent accéder à un compte Gmail en même temps.
Si vous utilisez des processus automatisés, tels que des API ou des extensions de navigateur, quelques délégués peuvent accéder à un compte Gmail en même temps.
Sur votre ordinateur, ouvrez Gmail. Vous ne pouvez pas ajouter de délégués depuis l'application Gmail.
Cliquez sur l'onglet Comptes et importation ou Comptes.
Dans la section "Accorder l'accès à votre compte", cliquez sur Ajouter un autre compte. Si vous utilisez Gmail via votre travail ou votre école, votre organisation peut restreindre la délégation d'e-mails. Si vous ne voyez pas ce paramètre, contactez votre administrateur.
Si vous ne voyez pas Accorder l'accès à votre compte, alors c'est restreint.
Entrez l'adresse e-mail de la personne que vous souhaitez ajouter. Si vous utilisez Gmail via votre travail, votre école ou une autre organisation, et si votre administrateur le permet, vous pouvez entrer l'adresse e-mail d'un groupe. Ce groupe doit avoir le même domaine que votre organisation. Les membres externes du groupe se voient refuser l'accès à la délégation.
Important : Si le compte que vous déléguez est un nouveau compte ou si le mot de passe a été réinitialisé, l'administrateur doit désactiver l'obligation de changer de mot de passe lors de la première connexion.
La personne que vous avez ajoutée recevra un e-mail lui demandant de confirmer. L'invitation expire après une semaine.
Si vous avez ajouté un groupe, tous les membres du groupe deviendront des délégués sans avoir à confirmer.
Remarque : Il peut falloir jusqu'à 24 heures pour que la délégation commence à prendre effet.
Persistance via l'application Android
Si vous avez une session à l'intérieur du compte Google des victimes, vous pouvez naviguer vers le Play Store et pourriez être en mesure d'installer des logiciels malveillants que vous avez déjà téléchargés sur le magasin directement sur le téléphone pour maintenir la persistance et accéder au téléphone des victimes.
Persistance via Scripts d'application
Vous pouvez créer des déclencheurs basés sur le temps dans les Scripts d'application, donc si le Script d'application est accepté par l'utilisateur, il sera déclenché même sans que l'utilisateur y accède. Pour plus d'informations sur la façon de faire cela, consultez :
Dans la zone de recherche en haut, cliquez sur Afficher les options de recherche .
Connectez-vous en utilisant un compte administrateur, pas votre compte actuel CarlosPolop@gmail.com 2. Dans la console d'administration, accédez à Menu ApplicationsGoogle WorkspaceGmailParamètres utilisateur. 3. Pour appliquer le paramètre à tout le monde, laissez l'unité organisationnelle supérieure sélectionnée. Sinon, sélectionnez une unité organisationnelle enfant. 4. Cliquez sur Délégation de messagerie. 5. Cochez la case Permettre aux utilisateurs de déléguer l'accès à leur boîte aux lettres à d'autres utilisateurs du domaine. 6. (Facultatif) Pour permettre aux utilisateurs de spécifier les informations de l'expéditeur incluses dans les messages délégués envoyés depuis leur compte, cochez la case Autoriser les utilisateurs à personnaliser ce paramètre. 7. Sélectionnez une option pour les informations de l'expéditeur par défaut incluses dans les messages envoyés par les délégués :
En haut à droite, cliquez sur Paramètres Voir tous les paramètres.
6. Cliquez sur Étape suivanteEnvoyer un e-mail pour accorder l'accès.