Todas as ações mencionadas nesta seção que alteram configurações gerarão um alerta de segurança para o e-mail e até uma notificação push para qualquer dispositivo móvel sincronizado com a conta.
Persistência no Gmail
Você pode criar filtros para ocultar notificações de segurança do Google
O endereço de recebimento precisará confirmar isso
Em seguida, defina para encaminhar todos os e-mails mantendo uma cópia (lembre-se de clicar em salvar alterações):
Também é possível criar filtros e encaminhar apenas e-mails específicos para o outro endereço de e-mail.
Senhas de aplicativos
Se você conseguiu comprometer uma sessão de usuário do Google e o usuário tinha 2FA, você pode gerar uma senha de aplicativo (siga o link para ver os passos). Note que Senhas de aplicativos não são mais recomendadas pelo Google e são revogadas quando o usuário altera a senha de sua Conta do Google.
Mesmo que você tenha uma sessão aberta, você precisará saber a senha do usuário para criar uma senha de aplicativo.
Senhas de aplicativos podem ser usadas apenas em contas com a Verificação em duas etapas ativada.
Alterar 2-FA e similares
Também é possível desativar a 2-FA ou inscrever um novo dispositivo (ou número de telefone) nesta página https://myaccount.google.com/security.Também é possível gerar chaves de acesso (adicionar seu próprio dispositivo), alterar a senha, adicionar números de celular para verificação de telefones e recuperação, alterar o e-mail de recuperação e alterar as perguntas de segurança).
Para evitar que notificações de segurança push cheguem ao telefone do usuário, você poderia sair do smartphone dele (embora isso seja estranho) porque você não pode logá-lo novamente daqui.
Também é possível localizar o dispositivo.
Mesmo que você tenha uma sessão aberta, você precisará saber a senha do usuário para alterar essas configurações.
Persistência via Aplicativos OAuth
Se você comprometeu a conta de um usuário, você pode simplesmente aceitar conceder todas as permissões possíveis a um Aplicativo OAuth. O único problema é que o Workspace pode ser configurado para impedir aplicativos OAuth externos e/ou internos não revisados.
É bastante comum para Organizações do Workspace não confiarem por padrão em aplicativos OAuth externos, mas confiarem nos internos, então se você tiver permissões suficientes para gerar um novo aplicativo OAuth dentro da organização e aplicativos externos forem proibidos, gere e use esse novo aplicativo OAuth interno para manter a persistência.
Consulte a seguinte página para obter mais informações sobre Aplicativos OAuth:
Você pode simplesmente delegar a conta para uma conta diferente controlada pelo atacante (se você tiver permissão para fazer isso). Nas Organizações do Workspace, essa opção deve estar ativada. Pode ser desativada para todos, ativada para alguns usuários/grupos ou para todos (geralmente é ativada apenas para alguns usuários/grupos ou completamente desativada).
Se você é um administrador do Workspace, verifique isso para habilitar o recurso
Como administrador de sua organização (por exemplo, seu trabalho ou escola), você controla se os usuários podem delegar acesso à sua conta do Gmail. Você pode permitir que todos tenham a opção de delegar sua conta. Ou, permitir apenas que pessoas em determinados departamentos configurem a delegação. Por exemplo, você pode:
Adicionar um assistente administrativo como delegado em sua conta do Gmail para que eles possam ler e enviar e-mails em seu nome.
Adicionar um grupo, como seu departamento de vendas, em Grupos como delegado para dar a todos acesso a uma conta do Gmail.
Os usuários só podem delegar acesso a outro usuário na mesma organização, independentemente de seu domínio ou sua unidade organizacional.
Limites e restrições de delegação
Opção Permitir que os usuários concedam acesso à caixa de correio a um grupo do Google: Para usar esta opção, ela deve estar ativada para a OU da conta delegada e para a OU de cada membro do grupo. Membros do grupo que pertencem a uma OU sem esta opção ativada não podem acessar a conta delegada.
Com o uso típico, 40 usuários delegados podem acessar uma conta do Gmail ao mesmo tempo. O uso acima da média por um ou mais delegados pode reduzir esse número.
Processos automatizados que acessam frequentemente o Gmail também podem reduzir o número de delegados que podem acessar uma conta ao mesmo tempo. Esses processos incluem APIs ou extensões do navegador que acessam o Gmail com frequência.
Uma única conta do Gmail suporta até 1.000 delegados exclusivos. Um grupo em Grupos conta como um delegado em relação ao limite.
A delegação não aumenta os limites de uma conta do Gmail. Contas do Gmail com usuários delegados têm os limites e políticas padrão da conta do Gmail. Para mais detalhes, visite Limites e políticas do Gmail.
Passo 1: Ativar a delegação do Gmail para seus usuários
Antes de começar: Para aplicar a configuração para determinados usuários, coloque suas contas em uma unidade organizacional.
Mostrar o proprietário da conta e o delegado que enviou o e-mail—As mensagens incluem os endereços de e-mail do proprietário da conta do Gmail e do delegado.
Mostrar apenas o proprietário da conta—As mensagens incluem apenas o endereço de e-mail do proprietário da conta do Gmail. O endereço de e-mail do delegado não é incluído.
(Opcional) Para permitir que os usuários adicionem um grupo em Grupos como delegado, marque a caixa Permitir que os usuários concedam acesso à sua caixa de correio a um grupo do Google.
Clique em Salvar. Se você configurou uma unidade organizacional filha, talvez seja possível Herdar ou Substituir as configurações de uma unidade organizacional pai.
(Opcional) Para ativar a delegação do Gmail para outras unidades organizacionais, repita os passos 3–9.
As alterações podem levar até 24 horas, mas geralmente ocorrem mais rapidamente. Saiba mais
Passo 2: Faça com que os usuários configurem delegados para suas contas
Após ativar a delegação, seus usuários devem acessar as configurações do Gmail para atribuir delegados. Os delegados podem então ler, enviar e receber mensagens em nome do usuário.
Se você estiver usando o Gmail por meio do seu trabalho, escola ou outra organização:
Você pode adicionar até 1000 delegados dentro da sua organização.
Com uso típico, 40 delegados podem acessar uma conta do Gmail ao mesmo tempo.
Se você usar processos automatizados, como APIs ou extensões de navegador, alguns delegados podem acessar uma conta do Gmail ao mesmo tempo.
No seu computador, abra o Gmail. Você não pode adicionar delegados no aplicativo Gmail.
Clique na aba Contas e importação ou Contas.
Na seção "Conceder acesso à sua conta", clique em Adicionar outra conta. Se você estiver usando o Gmail por meio do seu trabalho ou escola, sua organização pode restringir a delegação de e-mails. Se você não vir essa configuração, entre em contato com seu administrador.
Se você não vir Conceder acesso à sua conta, então está restrito.
Insira o endereço de e-mail da pessoa que deseja adicionar. Se você estiver usando o Gmail por meio do seu trabalho, escola ou outra organização, e seu administrador permitir, você pode inserir o endereço de e-mail de um grupo. Este grupo deve ter o mesmo domínio que sua organização. Membros externos do grupo são negados acesso à delegação.
Importante: Se a conta que você delegar for uma nova conta ou a senha foi redefinida, o administrador deve desativar a exigência de alteração de senha quando você fizer login pela primeira vez.
A pessoa que você adicionou receberá um e-mail pedindo confirmação. O convite expira após uma semana.
Se você adicionou um grupo, todos os membros do grupo se tornarão delegados sem precisar confirmar.
Observação: Pode levar até 24 horas para a delegação começar a ter efeito.
Persistência via Aplicativo Android
Se você tiver uma sessão dentro da conta Google das vítimas, você pode navegar até a Play Store e talvez consiga instalar malware que você já enviou para a loja diretamente no telefone para manter a persistência e acessar o telefone das vítimas.
Persistência via Scripts de Aplicativos
Você pode criar acionadores baseados em tempo em Scripts de Aplicativos, então se o Script de Aplicativo for aceito pelo usuário, ele será acionado mesmo sem o usuário acessá-lo. Para mais informações sobre como fazer isso, confira:
Faça login usando uma conta de administrador, não sua conta atual CarlosPolop@gmail.com 2. No console de administração, vá para Menu AppsGoogle WorkspaceGmailConfigurações do usuário. 3. Para aplicar a configuração a todos, deixe a unidade organizacional superior selecionada. Caso contrário, selecione uma unidade organizacional filha. 4. Clique em Delegação de e-mail. 5. Marque a caixa Permitir que os usuários deleguem acesso à sua caixa de correio a outros usuários no domínio. 6. (Opcional) Para permitir que os usuários especifiquem quais informações do remetente são incluídas nas mensagens delegadas enviadas de sua conta, marque a caixa Permitir que os usuários personalizem essa configuração. 7. Selecione uma opção para as informações padrão do remetente que são incluídas em mensagens enviadas pelos delegados:
No canto superior direito, clique em Configurações Ver todas as configurações.
6. Clique em Próxima etapaEnviar e-mail para conceder acesso.