सामान्य फिशिंग मेथडोलॉजी

Google समूह फिशिंग

जाहिर है, डिफ़ॉल्ट रूप से, workspace सदस्य समूह बना सकते हैं और उन्हें उसमें आमंत्रित कर सकते हैं। फिर आप उस उपयोगकर्ता को भेजने वाले ईमेल को संशोधित कर सकते हैं कुछ लिंक जोड़ें। ईमेल एक गूगल पते से आएगा, इसलिए यह वैध लगेगा और लोग लिंक पर क्लिक कर सकते हैं।

यह भी संभव है कि FROM पता को Google समूह ईमेल के रूप में सेट किया जा सकता है ताकि समूह के सभी सदस्यों को अधिक ईमेल भेजा जा सके, जैसे कि निम्नलिखित छवि में जहां समूह google--support@googlegroups.com बनाया गया था और समूह के सभी सदस्यों को एक ईमेल भेजा गया था (जिन्हें किसी सहमति के बिना जोड़ा गया था)

Google चैट फिशिंग

आप शायद एक व्यक्ति के साथ चैट शुरू कर सकते हैं जिसके पास केवल उनका ईमेल पता है या एक बातचीत के लिए आमंत्रण भेज सकते हैं। इसके अतिरिक्त, एक Space बनाना संभव है जिसमें कोई भी नाम हो सकता है (जैसे "Google समर्थन") और उसमें सदस्यों को आमंत्रित कर सकते हैं। यदि वे स्वीकार करते हैं तो वे यह महसूस कर सकते हैं कि वे Google समर्थन से बात कर रहे हैं:

आप यह देख सकते हैं कि यह पिछले में कैसे काम करता था: https://www.youtube.com/watch?v=KTVHLolz6cE&t=904s

Google डॉक फिशिंग

पहले एक वैध दस्तावेज बनाना संभव था और फिर एक टिप्पणी में किसी ईमेल का उल्लेख करना (जैसे @user@gmail.com)। Google ने उस ईमेल पते को सूचित करने वाला ईमेल भेजा कि उन्हें दस्तावेज में उल्लेख किया गया था। आजकल, यह काम नहीं करता है लेकिन यदि आप विक्टिम ईमेल को दस्तावेज तक पहुंचने की अनुमति देते हैं तो Google एक ईमेल भेजेगा जिसमें इसकी सूचना दी जाएगी। यह वह संदेश है जो दिखाई देता है जब आप किसी को उल्लेख करते हैं:

Google कैलेंडर फिशिंग

आप एक कैलेंडर घटना बना सकते हैं और आपके पास जितने भी कंपनी के ईमेल पते हैं, उन्हें जोड़ सकते हैं। इस कैलेंडर घटना को वर्तमान समय से 5 या 15 मिनट में निर्धारित करें। इस घटना को वैध दिखाएं और एक टिप्पणी और शीर्षक जोड़ें जिससे उन्हें कुछ पढ़ने की आवश्यकता है (फिशिंग लिंक के साथ)।

यह वह चेतावनी है जो ब्राउज़र में दिखाई देगी जिसमें एक मीटिंग शीर्षक "लोगों को नौकरी से निकालना" है, इसलिए आप एक और फिशिंग जैसा शीर्षक सेट कर सकते हैं (और अपने ईमेल के साथ जुड़े नाम को भी बदल सकते हैं)।

इसे संदेशपूर्ण दिखाने के लिए:

• इसे ऐसे सेट करें कि प्राप्तकर्ता अन्य आमंत्रित लोगों को नहीं देख सकते

• घटना के बारे में ईमेल न भेजें। फिर, लोग केवल अपने चेतावनी देखेंगे कि 5 मिनट में एक मीटिंग है और उन्हें उस लिंक को पढ़ने की आवश्यकता है।

• प्रतिक्रिया में लोगों को स्वीकृति दी गई है और यहां तक कि उनके पक्ष में टिप्पणियां भी बनाई जा सकती हैं।

ऐप स्क्रिप्ट रीडायरेक्ट फिशिंग

यह संभव है कि आप https://script.google.com/ में एक स्क्रिप्ट बना सकते हैं और सभी द्वारा एक्सेस करने योग्य एक वेब एप्लिकेशन के रूप में उसे उजागर कर सकते हैं जो वैध डोमेन script.google.com का उपयोग करेगा। फिर कुछ कोड के साथ एक आक्रमणकारी स्थान पर इस पृष्ठ में विचारशील सामग्री लोड करने के लिए एक हमलावर को बना सकते हैं:

function doGet() {
return HtmlService.createHtmlOutput('<meta http-equiv="refresh" content="0;url=https://cloud.hacktricks.xyz/pentesting-cloud/workspace-security/gws-google-platforms-phishing#app-scripts-redirect-phishing">')
.setXFrameOptionsMode(HtmlService.XFrameOptionsMode.ALLOWALL);
}

उदाहरण के लिए https://script.google.com/macros/s/AKfycbwuLlzo0PUaT63G33MtE6TbGUNmTKXCK12o59RKC7WLkgBTyltaS3gYuH_ZscKQTJDC/exec तक पहुंचने पर आप देखेंगे:

ऐप स्क्रिप्ट्स OAuth फिशिंग

यह संभव है कि दस्तावेज़ों के साथ जुड़े ऐप स्क्रिप्ट्स बनाए जा सकते हैं ताकि किसी पीड़ित के OAuth टोकन पर पहुंचने का प्रयास किया जा सके, अधिक जानकारी के लिए देखें:

OAuth ऐप्स फिशिंग

पिछली किसी भी तकनीक का उपयोग किया जा सकता है ताकि उपयोगकर्ता को Google OAuth ऐप्लिकेशन तक पहुंचाया जा सके जो उपयोगकर्ता से कुछ पहुंच के लिए अनुरोध करेगा। यदि उपयोगकर्ता स्रोत पर विश्वास करता है तो वह ऐप्लिकेशन पर भी विश्वास कर सकता है (यदि यह उच्च विशेषाधिकार अनुमतियों के लिए मांग कर रहा है तो भी)।

Google उन ऐप्लिकेशनों को बनाने की अनुमति देता है जो कई Google सेवाओं के साथ उपयोगकर्ताओं के पक्ष से संवाद कर सकते हैं: Gmail, Drive, GCP...

जब किसी अन्य उपयोगकर्ता के पक्ष से कार्रवाई करने के लिए एक ऐप्लिकेशन बनाया जाता है, तो डेवलपर को एक GCP के अंदर OAuth ऐप्लिकेशन बनाने की आवश्यकता होती है और उपयोगकर्ताओं के डेटा तक पहुंचने के लिए ऐप्लिकेशन को उपयोगकर्ताओं द्वारा निर्दिष्ट स्कोप (अनुमतियाँ) की आवश्यकता होती है। जब एक उपयोगकर्ता उस ऐप्लिकेशन का उपयोग करना चाहता है, तो उसे यह स्वीकार करने के लिए अवगत किया जाएगा कि ऐप्लिकेशन को उनके डेटा तक पहुंचने की अनुमति होगी जो स्कोप में निर्दिष्ट किया गया है।

यह एक बहुत ही रुचिकर तरीका है जिससे गैर-तकनीकी उपयोगकर्ताओं को ऐसे ऐप्लिकेशनों का उपयोग करने में फिशिंग किया जा सकता है जो संवेदनशील जानकारी तक पहुंचने वाले हो सकते हैं क्योंकि उन्हें परिणाम समझने में मुश्किल हो सकती है। हालांकि, संगठनों के खातों में, इसे होने से रोकने के तरीके हैं।

असत्यापित ऐप प्रॉम्प्ट

जैसा कि उल्लिखित किया गया था, Google हमेशा उपयोगकर्ता को उन अनुमतियों को स्वीकार करने के लिए एक प्रॉम्प्ट प्रस्तुत करेगा जो उन्हें उनके पक्ष में ऐप्लिकेशन को देने जा रही अनुमतियाँ स्पष्ट करेगा। हालांकि, यदि ऐप्लिकेशन को खतरनाक माना जाता है, तो Google पहले एक प्रॉम्प्ट दिखाएगा जिसमें यह दिखाया जाएगा कि यह खतरनाक है और उपयोगकर्ता को ऐप्लिकेशन को अनुमतियाँ देने में अधिक कठिन बनाएगा।

यह प्रॉम्प्ट उन ऐप्लिकेशनों में दिखाई देता है जो:

• किसी भी स्कोप का उपयोग करते हैं जो निजी डेटा तक पहुंच सकता है (Gmail, Drive, GCP, BigQuery...)

• 100 से कम उपयोगकर्ताओं वाले ऐप्लिकेशन (100 से अधिक उपयोगकर्ताओं वाले ऐप्लिकेशनों के लिए असत्यापित प्रॉम्प्ट दिखाने के लिए समीक्षा प्रक्रिया भी आवश्यक है)

दिलचस्प स्कोप

यहाँ आपको सभी Google OAuth स्कोप की सूची मिलेगी।

• cloud-platform: Google Cloud Platform सेवाओं के अंदर अपने डेटा को देखें और प्रबंधित करें। आप GCP में उपयोगकर्ता का प्रतिनिधित्व कर सकते हैं।

• admin.directory.user.readonly: अपने संगठन के GSuite निर्देशिका को देखें और डाउनलोड करें। सभी उपयोगकर्ताओं के नाम, फोन, कैलेंडर URL प्राप्त करें।

एक OAuth ऐप बनाएं

एक OAuth क्लाइंट आईडी बनाना शुरू करें

1. https://console.cloud.google.com/apis/credentials/oauthclient पर जाएं और सहमति स्क्रीन को कॉन्फ़िगर करने पर क्लिक करें।

2. फिर, आपसे पूछा जाएगा कि उपयोगकर्ता प्रकार आंतरिक (केवल आपके संगठन के लोगों के लिए) या बाह्य है। उसे चुनें जो आपकी आवश्यकताओं के अनुरूप है

• आंतरिक यदि आपने पहले संगठन के एक उपयोगकर्ता को कंप्रमाइज किया है और आप एक और को फिशिंग करने के लिए इस ऐप को बना रहे हैं तो यह महत्वपूर्ण हो सकता है।

3. ऐप को एक नाम, एक समर्थन ईमेल (ध्यान दें कि आप अपनी पहचान को और अधिक गुमनाम करने के लिए एक googlegroup ईमेल सेट कर सकते हैं), एक लोगो, अधिकृत डोमेन और अन्य ईमेल दें **अपड

git clone ttps://github.com/carlospolop/gcp_oauth_phishing_example
cd gcp_oauth_phishing_example
pip install flask requests google-auth-oauthlib
python3 app.py --client-id "<client_id>" --client-secret "<client_secret>"

जाएं http://localhost:8000 पर और Google के साथ लॉगिन बटन पर क्लिक करें, आपको इस तरह का संदेश प्रदर्शित होगा:

एप्लिकेशन एक्सेस और रिफ्रेश टोकन दिखाएगा जो आसानी से उपयोग किया जा सकता है। इन टोकन्स का उपयोग कैसे करें के बारे में अधिक जानकारी के लिए देखें:

glcoud का उपयोग

वेब कॉन्सोल के बजाय gcloud का उपयोग करके कुछ करना संभव है, देखें:

संदर्भ

• https://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - Hacking G Suite: The Power of Dark Apps Script Magic

• https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch and Beau Bullock - OK Google, How do I Red Team GSuite?