Tutte le azioni menzionate in questa sezione che modificano le impostazioni genereranno un allarme di sicurezza via email e persino una notifica push a qualsiasi dispositivo mobile sincronizzato con l'account.
Persistenza in Gmail
Puoi creare filtri per nascondere le notifiche di sicurezza da Google
Inserisci i tuoi criteri di ricerca. Se vuoi verificare che la tua ricerca abbia funzionato correttamente, guarda quali email compaiono facendo clic su Cerca.
In fondo alla finestra di ricerca, fai clic su Crea filtro.
Quindi, impostalo per inoltrare tutte le email mantenendo una copia (ricorda di fare clic su salva modifiche):
È anche possibile creare filtri e inoltrare solo email specifiche all'altro indirizzo email.
Password dell'applicazione
Se sei riuscito a compromettere una sessione utente di Google e l'utente aveva 2FA, puoi generare una password dell'applicazione (segui il link per vedere i passaggi). Nota che le password dell'applicazione non sono più raccomandate da Google e vengono revocate quando l'utente cambia la password del suo account Google.
Anche se hai una sessione aperta, dovrai conoscere la password dell'utente per creare una password dell'applicazione.
Le password dell'applicazione possono essere utilizzate solo con account che hanno attivata la verifica in due passaggi.
Cambia 2-FA e simili
È anche possibile disattivare la 2-FA o iscrivere un nuovo dispositivo (o numero di telefono) in questa pagina https://myaccount.google.com/security.È anche possibile generare passkey (aggiungere il proprio dispositivo), cambiare la password, aggiungere numeri di telefono per la verifica dei telefoni e il recupero, cambiare l'email di recupero e cambiare le domande di sicurezza).
Per evitare che le notifiche push di sicurezza raggiungano il telefono dell'utente, potresti disconnettere il suo smartphone (anche se sarebbe strano) perché non puoi riconnetterlo da qui.
È anche possibile individuare il dispositivo.
Anche se hai una sessione aperta, dovrai conoscere la password dell'utente per modificare queste impostazioni.
Persistenza tramite App OAuth
Se hai compromesso l'account di un utente, puoi semplicemente accettare di concedere tutte le possibili autorizzazioni a un App OAuth. L'unico problema è che Workspace può essere configurato per non consentire app OAuth esterne e/o interne non verificate.
È abbastanza comune per le Organizzazioni di Workspace di non fidarsi per impostazione predefinita delle app OAuth esterne ma fidarsi di quelle interne, quindi se hai abbastanza autorizzazioni per generare una nuova applicazione OAuth all'interno dell'organizzazione e le app esterne sono disabilitate, generane una e utilizza quella nuova app OAuth interna per mantenere la persistenza.
Controlla la seguente pagina per ulteriori informazioni sulle App OAuth:
Puoi semplicemente delegare l'account a un account diverso controllato dall'attaccante (se ti è consentito farlo). Nelle Organizzazioni di Workspace questa opzione deve essere abilitata. Può essere disabilitata per tutti, abilitata per alcuni utenti/gruppi o per tutti (di solito è abilitata solo per alcuni utenti/gruppi o completamente disabilitata).
Se sei un amministratore di Workspace controlla questo per abilitare la funzionalità
Come amministratore della tua organizzazione (ad esempio, il tuo lavoro o la tua scuola), controlli se gli utenti possono delegare l'accesso al proprio account Gmail. Puoi permettere a tutti di avere l'opzione di delegare il proprio account. Oppure, permettere solo alle persone in determinati dipartimenti di configurare la delega. Ad esempio, puoi:
Aggiungere un assistente amministrativo come delegato sul tuo account Gmail in modo che possa leggere e inviare email per tuo conto.
Aggiungere un gruppo, come il tuo reparto vendite, in Gruppi come delegato per dare a tutti accesso a un account Gmail.
Gli utenti possono delegare l'accesso solo a un altro utente nella stessa organizzazione, indipendentemente dal loro dominio o dall'unità organizzativa.
Limiti e restrizioni della delega
Opzione Consenti agli utenti di concedere l'accesso alla propria casella di posta a un gruppo Google: Per utilizzare questa opzione, deve essere abilitata per l'OU dell'account delegato e per ciascun OU dei membri del gruppo. I membri del gruppo che appartengono a un'OU senza questa opzione abilitata non possono accedere all'account delegato.
Con un uso tipico, 40 utenti delegati possono accedere contemporaneamente a un account Gmail. Un uso sopra la media da parte di uno o più delegati potrebbe ridurre questo numero.
I processi automatizzati che accedono frequentemente a Gmail potrebbero ridurre anche il numero di delegati che possono accedere a un account contemporaneamente. Questi processi includono API o estensioni del browser che accedono frequentemente a Gmail.
Un singolo account Gmail supporta fino a 1.000 delegati unici. Un gruppo in Gruppi conta come un delegato verso il limite.
La delega non aumenta i limiti per un account Gmail. Gli account Gmail con utenti delegati hanno i limiti e le politiche standard degli account Gmail. Per ulteriori dettagli, visita Limiti e politiche di Gmail.
Passo 1: Attiva la delega Gmail per i tuoi utenti
Prima di iniziare: Per applicare l'impostazione per determinati utenti, metti i loro account in un'unità organizzativa.
Mostra il proprietario dell'account e il delegato che ha inviato l'email—I messaggi includono gli indirizzi email del proprietario dell'account Gmail e del delegato.
Mostra solo il proprietario dell'account—I messaggi includono solo l'indirizzo email del proprietario dell'account Gmail. L'indirizzo email del delegato non è incluso.
(Opzionale) Per consentire agli utenti di aggiungere un gruppo in Gruppi come delegato, seleziona la casella Consenti agli utenti di concedere l'accesso alla propria casella di posta a un gruppo Google.
Clicca su Salva. Se hai configurato un'unità organizzativa figlia, potresti poter Ereditare o Sovrascrivere le impostazioni di un'unità organizzativa principale.
(Opzionale) Per attivare la delega Gmail per altre unità organizzative, ripeti i passaggi da 3 a 9.
Le modifiche possono richiedere fino a 24 ore ma di solito avvengono più rapidamente. Ulteriori informazioni
Passo 2: Fai in modo che gli utenti configurino i delegati per i loro account
Dopo aver attivato la delega, i tuoi utenti vanno nelle impostazioni di Gmail per assegnare i delegati. I delegati possono quindi leggere, inviare e ricevere messaggi per conto dell'utente.
Se stai utilizzando Gmail tramite il lavoro, la scuola o un'altra organizzazione:
Puoi aggiungere fino a 1000 delegati all'interno della tua organizzazione.
Con un uso tipico, 40 delegati possono accedere contemporaneamente a un account Gmail.
Se utilizzi processi automatizzati, come API o estensioni del browser, alcuni delegati possono accedere contemporaneamente a un account Gmail.
Sul tuo computer, apri Gmail. Non puoi aggiungere delegati dall'app Gmail.
Clicca sulla scheda Account e importazione o Account.
Nella sezione "Concedi accesso al tuo account", clicca su Aggiungi un altro account. Se stai utilizzando Gmail tramite il lavoro o la scuola, la tua organizzazione potrebbe limitare la delega dell'email. Se non vedi questa impostazione, contatta il tuo amministratore.
Se non vedi Concedi accesso al tuo account, allora è limitato.
Inserisci l'indirizzo email della persona che desideri aggiungere. Se stai utilizzando Gmail tramite il lavoro, la scuola o un'altra organizzazione, e il tuo amministratore lo consente, puoi inserire l'indirizzo email di un gruppo. Questo gruppo deve avere lo stesso dominio della tua organizzazione. Ai membri esterni del gruppo viene negato l'accesso alla delega.
Importante: Se l'account che delega è un nuovo account o la password è stata reimpostata, l'amministratore deve disattivare l'obbligo di cambiare la password quando accedi per la prima volta.
La persona che hai aggiunto riceverà un'email che chiede di confermare. L'invito scade dopo una settimana.
Se hai aggiunto un gruppo, tutti i membri del gruppo diventeranno delegati senza dover confermare.
Nota: Potrebbero essere necessarie fino a 24 ore affinché la delega inizi ad avere effetto.
Persistenza tramite App Android
Se hai una sessione all'interno dell'account Google delle vittime puoi navigare nel Play Store e potresti essere in grado di installare malware che hai già caricato direttamente nello store sul telefono per mantenere la persistenza e accedere al telefono delle vittime.
Persistenza tramite App Scripts
Puoi creare trigger basati sul tempo in App Scripts, quindi se lo script dell'app è accettato dall'utente, verrà attivato anche senza che l'utente vi acceda. Per ulteriori informazioni su come fare ciò, controlla:
Nella casella di ricerca in alto, fai clic su Mostra opzioni di ricerca .
Accedi utilizzando un account amministratore, non il tuo account attuale CarlosPolop@gmail.com 2. Nella Console di amministrazione, vai al Menu AppGoogle WorkspaceGmailImpostazioni utente. 3. Per applicare l'impostazione a tutti, lascia selezionata l'unità organizzativa principale. Altrimenti, seleziona un'unità organizzativa figlia. 4. Clicca su Delega posta. 5. Seleziona la casella Consenti agli utenti di delegare l'accesso alla propria casella di posta ad altri utenti del dominio. 6. (Opzionale) Per consentire agli utenti di specificare quali informazioni sul mittente sono incluse nei messaggi delegati inviati dal loro account, seleziona la casella Consenti agli utenti di personalizzare questa impostazione. 7. Seleziona un'opzione per le informazioni predefinite sul mittente incluse nei messaggi inviati dai delegati:
In alto a destra, clicca su Impostazioni Visualizza tutte le impostazioni.
6. Clicca su Passaggio successivoInvia email per concedere l'accesso.
