GWS - Google Platforms Phishing
सामान्य फिशिंग मेथडोलॉजी
Google समूह फिशिंग
जाहिर है, डिफ़ॉल्ट रूप से, workspace सदस्य समूह बना सकते हैं और उन्हें उसमें आमंत्रित कर सकते हैं। फिर आप उस उपयोगकर्ता को भेजने वाले ईमेल को संशोधित कर सकते हैं कुछ लिंक जोड़ें। ईमेल एक गूगल पते से आएगा, इसलिए यह वैध लगेगा और लोग लिंक पर क्लिक कर सकते हैं।
यह भी संभव है कि FROM पता को Google समूह ईमेल के रूप में सेट किया जा सकता है ताकि समूह के सभी सदस्यों को अधिक ईमेल भेजा जा सके, जैसे कि निम्नलिखित छवि में जहां समूह google--support@googlegroups.com
बनाया गया था और समूह के सभी सदस्यों को एक ईमेल भेजा गया था (जिन्हें किसी सहमति के बिना जोड़ा गया था)
Google चैट फिशिंग
आप शायद एक व्यक्ति के साथ चैट शुरू कर सकते हैं जिसके पास केवल उनका ईमेल पता है या एक बातचीत के लिए आमंत्रण भेज सकते हैं। इसके अतिरिक्त, एक Space बनाना संभव है जिसमें कोई भी नाम हो सकता है (जैसे "Google समर्थन") और उसमें सदस्यों को आमंत्रित कर सकते हैं। यदि वे स्वीकार करते हैं तो वे यह महसूस कर सकते हैं कि वे Google समर्थन से बात कर रहे हैं:
मेरे परीक्षण में तथाकथित सदस्यों को आमंत्रण तक प्राप्त नहीं हुआ।
आप यह देख सकते हैं कि यह पिछले में कैसे काम करता था: https://www.youtube.com/watch?v=KTVHLolz6cE&t=904s
Google डॉक फिशिंग
पहले एक वैध दस्तावेज बनाना संभव था और फिर एक टिप्पणी में किसी ईमेल का उल्लेख करना (जैसे @user@gmail.com)। Google ने उस ईमेल पते को सूचित करने वाला ईमेल भेजा कि उन्हें दस्तावेज में उल्लेख किया गया था। आजकल, यह काम नहीं करता है लेकिन यदि आप विक्टिम ईमेल को दस्तावेज तक पहुंचने की अनुमति देते हैं तो Google एक ईमेल भेजेगा जिसमें इसकी सूचना दी जाएगी। यह वह संदेश है जो दिखाई देता है जब आप किसी को उल्लेख करते हैं:
विक्टिम के पास संरक्षण तंत्र हो सकता है जो उन्हें यह ईमेल पहुंचने की अनुमति नहीं देता जो एक बाह्य दस्तावेज के साथ साझा किया गया था।
Google कैलेंडर फिशिंग
आप एक कैलेंडर घटना बना सकते हैं और आपके पास जितने भी कंपनी के ईमेल पते हैं, उन्हें जोड़ सकते हैं। इस कैलेंडर घटना को वर्तमान समय से 5 या 15 मिनट में निर्धारित करें। इस घटना को वैध दिखाएं और एक टिप्पणी और शीर्षक जोड़ें जिससे उन्हें कुछ पढ़ने की आवश्यकता है (फिशिंग लिंक के साथ)।
यह वह चेतावनी है जो ब्राउज़र में दिखाई देगी जिसमें एक मीटिंग शीर्षक "लोगों को नौकरी से निकालना" है, इसलिए आप एक और फिशिंग जैसा शीर्षक सेट कर सकते हैं (और अपने ईमेल के साथ जुड़े नाम को भी बदल सकते हैं)।
इसे संदेशपूर्ण दिखाने के लिए:
इसे ऐसे सेट करें कि प्राप्तकर्ता अन्य आमंत्रित लोगों को नहीं देख सकते
घटना के बारे में ईमेल न भेजें। फिर, लोग केवल अपने चेतावनी देखेंगे कि 5 मिनट में एक मीटिंग है और उन्हें उस लिंक को पढ़ने की आवश्यकता है।
प्रतिक्रिया में लोगों को स्वीकृति दी गई है और यहां तक कि उनके पक्ष में टिप्पणियां भी बनाई जा सकती हैं।
ऐप स्क्रिप्ट रीडायरेक्ट फिशिंग
यह संभव है कि आप https://script.google.com/ में एक स्क्रिप्ट बना सकते हैं और सभी द्वारा एक्सेस करने योग्य एक वेब एप्लिकेशन के रूप में उसे उजागर कर सकते हैं जो वैध डोमेन script.google.com
का उपयोग करेगा।
फिर कुछ कोड के साथ एक आक्रमणकारी स्थान पर इस पृष्ठ में विचारशील सामग्री लोड करने के लिए एक हमलावर को बना सकते हैं:
उदाहरण के लिए https://script.google.com/macros/s/AKfycbwuLlzo0PUaT63G33MtE6TbGUNmTKXCK12o59RKC7WLkgBTyltaS3gYuH_ZscKQTJDC/exec तक पहुंचने पर आप देखेंगे:
ध्यान दें कि एक चेतावनी दिखाई देगी क्योंकि सामग्री एक आईफ्रेम के अंदर लोड हो रही है।
ऐप स्क्रिप्ट्स OAuth फिशिंग
यह संभव है कि दस्तावेज़ों के साथ जुड़े ऐप स्क्रिप्ट्स बनाए जा सकते हैं ताकि किसी पीड़ित के OAuth टोकन पर पहुंचने का प्रयास किया जा सके, अधिक जानकारी के लिए देखें:
pageGWS - App ScriptsOAuth ऐप्स फिशिंग
पिछली किसी भी तकनीक का उपयोग किया जा सकता है ताकि उपयोगकर्ता को Google OAuth ऐप्लिकेशन तक पहुंचाया जा सके जो उपयोगकर्ता से कुछ पहुंच के लिए अनुरोध करेगा। यदि उपयोगकर्ता स्रोत पर विश्वास करता है तो वह ऐप्लिकेशन पर भी विश्वास कर सकता है (यदि यह उच्च विशेषाधिकार अनुमतियों के लिए मांग कर रहा है तो भी)।
ध्यान दें कि Google कई मामलों में एक भद्दी प्रॉम्प्ट प्रस्तुत करता है जिसमें चेतावनी दी जाती है कि ऐप्लिकेशन अविश्वसनीय है और Workspace व्यवस्थापक लोगों को OAuth ऐप्लिकेशन स्वीकार करने से रोक सकते हैं।
Google उन ऐप्लिकेशनों को बनाने की अनुमति देता है जो कई Google सेवाओं के साथ उपयोगकर्ताओं के पक्ष से संवाद कर सकते हैं: Gmail, Drive, GCP...
जब किसी अन्य उपयोगकर्ता के पक्ष से कार्रवाई करने के लिए एक ऐप्लिकेशन बनाया जाता है, तो डेवलपर को एक GCP के अंदर OAuth ऐप्लिकेशन बनाने की आवश्यकता होती है और उपयोगकर्ताओं के डेटा तक पहुंचने के लिए ऐप्लिकेशन को उपयोगकर्ताओं द्वारा निर्दिष्ट स्कोप (अनुमतियाँ) की आवश्यकता होती है। जब एक उपयोगकर्ता उस ऐप्लिकेशन का उपयोग करना चाहता है, तो उसे यह स्वीकार करने के लिए अवगत किया जाएगा कि ऐप्लिकेशन को उनके डेटा तक पहुंचने की अनुमति होगी जो स्कोप में निर्दिष्ट किया गया है।
यह एक बहुत ही रुचिकर तरीका है जिससे गैर-तकनीकी उपयोगकर्ताओं को ऐसे ऐप्लिकेशनों का उपयोग करने में फिशिंग किया जा सकता है जो संवेदनशील जानकारी तक पहुंचने वाले हो सकते हैं क्योंकि उन्हें परिणाम समझने में मुश्किल हो सकती है। हालांकि, संगठनों के खातों में, इसे होने से रोकने के तरीके हैं।
असत्यापित ऐप प्रॉम्प्ट
जैसा कि उल्लिखित किया गया था, Google हमेशा उपयोगकर्ता को उन अनुमतियों को स्वीकार करने के लिए एक प्रॉम्प्ट प्रस्तुत करेगा जो उन्हें उनके पक्ष में ऐप्लिकेशन को देने जा रही अनुमतियाँ स्पष्ट करेगा। हालांकि, यदि ऐप्लिकेशन को खतरनाक माना जाता है, तो Google पहले एक प्रॉम्प्ट दिखाएगा जिसमें यह दिखाया जाएगा कि यह खतरनाक है और उपयोगकर्ता को ऐप्लिकेशन को अनुमतियाँ देने में अधिक कठिन बनाएगा।
यह प्रॉम्प्ट उन ऐप्लिकेशनों में दिखाई देता है जो:
किसी भी स्कोप का उपयोग करते हैं जो निजी डेटा तक पहुंच सकता है (Gmail, Drive, GCP, BigQuery...)
100 से कम उपयोगकर्ताओं वाले ऐप्लिकेशन (100 से अधिक उपयोगकर्ताओं वाले ऐप्लिकेशनों के लिए असत्यापित प्रॉम्प्ट दिखाने के लिए समीक्षा प्रक्रिया भी आवश्यक है)
दिलचस्प स्कोप
यहाँ आपको सभी Google OAuth स्कोप की सूची मिलेगी।
cloud-platform: Google Cloud Platform सेवाओं के अंदर अपने डेटा को देखें और प्रबंधित करें। आप GCP में उपयोगकर्ता का प्रतिनिधित्व कर सकते हैं।
admin.directory.user.readonly: अपने संगठन के GSuite निर्देशिका को देखें और डाउनलोड करें। सभी उपयोगकर्ताओं के नाम, फोन, कैलेंडर URL प्राप्त करें।
एक OAuth ऐप बनाएं
एक OAuth क्लाइंट आईडी बनाना शुरू करें
https://console.cloud.google.com/apis/credentials/oauthclient पर जाएं और सहमति स्क्रीन को कॉन्फ़िगर करने पर क्लिक करें।
फिर, आपसे पूछा जाएगा कि उपयोगकर्ता प्रकार आंतरिक (केवल आपके संगठन के लोगों के लिए) या बाह्य है। उसे चुनें जो आपकी आवश्यकताओं के अनुरूप है
आंतरिक यदि आपने पहले संगठन के एक उपयोगकर्ता को कंप्रमाइज किया है और आप एक और को फिशिंग करने के लिए इस ऐप को बना रहे हैं तो यह महत्वपूर्ण हो सकता है।
ऐप को एक नाम, एक समर्थन ईमेल (ध्यान दें कि आप अपनी पहचान को और अधिक गुमनाम करने के लिए एक googlegroup ईमेल सेट कर सकते हैं), एक लोगो, अधिकृत डोमेन और अन्य ईमेल दें **अपड
जाएं http://localhost:8000
पर और Google के साथ लॉगिन बटन पर क्लिक करें, आपको इस तरह का संदेश प्रदर्शित होगा:
एप्लिकेशन एक्सेस और रिफ्रेश टोकन दिखाएगा जो आसानी से उपयोग किया जा सकता है। इन टोकन्स का उपयोग कैसे करें के बारे में अधिक जानकारी के लिए देखें:
pageGCP - Non-svc Persistanceglcoud
का उपयोग
glcoud
का उपयोगवेब कॉन्सोल के बजाय gcloud का उपयोग करके कुछ करना संभव है, देखें:
pageGCP - ClientAuthConfig Privescसंदर्भ
https://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - Hacking G Suite: The Power of Dark Apps Script Magic
https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch and Beau Bullock - OK Google, How do I Red Team GSuite?
Last updated