• XSS.stack #1 – первый литературный журнал от юзеров форума

Отправляем фишинговые письма через домен. google.com

Отслеживать
whitehaker

whitehaker

RAID-массив
Пользователь
Регистрация
27.02.2020
Сообщения
84
Реакции
111
Функциональность файла электронной почты Google Drive может использоваться для отправки фишинговых писем через домен. google.com.

Введение​

Я пользовался Google Диском и случайно столкнулся с их функцией “Отправить этот файл по электронной почте” (не знаю, новая ли она, но я никогда ее не замечал). В этом нет ничего необычного, за исключением одной маленькой вещи, которая вызвала мое любопытство. Когда я отправлял файл самому себе по электронной почте, адрес электронной почты отправителя был:

hacklair (via Google Docs) <drive-shares-noreply@google.com>

У меня возник вопрос, как кто-то может воспользоваться этим для рассылки фишинговых писем с использованием @google.com домена

Шаги - TLDR​

Действия по злоупотреблению этой функцией довольно просты:

  1. Вы должны использовать учетную запись Google Workspace. Если вы используете учетную запись Gmail, Google будет использовать вашу электронную почту в качестве отправителя.
  2. Измените имя, фамилию и фотографию профиля в своей учетной записи Google Workspace на имя человека, за которого вы хотите выдавать себя (например, менеджера цели).
  3. Создайте документ Google и вставьте какой-нибудь предлог. Убедитесь, что заголовок документа соответствует действительности, поскольку его увидит целевой пользователь.
  4. Нажмите “Отправить этот файл по электронной почте” и убедитесь, что вы установили флажок “Не прикреплять. Включите содержимое в электронное письмо”.

Вот и все.​

Прохождение​

Как и говорилось, мы начнем с учетной записи Google Workspace. Измените имя и фотографию профиля на любую понравившуюся.

ba85d0b8a9ef0db81b0f4.png

Затем я создал документ Google с предлогом, как показано ниже. Заголовок документа в этом примере - “Обязательное обновление антивируса”.

4bf50d844a67aedc03df2.png

Теперь выберите Файл> Отправить этот файл по электронной почте и установите флажок “Не прикреплять. Включите содержимое в электронное письмо”. Если вы хотите добавить дополнительное содержимое в окно сообщения, не стесняйтесь.

205078575f3490d1947f1.png

И теперь, когда цель получает электронное письмо, они видят вот что. Я думаю, это довольно правдоподобно.

1724064465549.png

Заключительные соображения​

Это, вероятно, может стать хорошей фишинговой атакой во время взаимодействия. Очевидно, что существуют ограничения относительно того, что вы можете изменять в шаблоне электронной почты, но это связано с технологией, и вы ничего не можете с этим поделать.

Вы наверное догадались почему до выхода данной статьи были несколько статей про фишинг ?
Ссылки на статьи если потеряли.
https://t.me/free_source_hub/46
https://t.me/free_source_hub/43
https://t.me/free_source_hub/42
t.me

Telegram: Contact @free_source_hub

t.me
 
With a Google Workspace account, you can send up to 2,000 emails per day (1,500 mail merge) compared to the standard Gmail limit of 500.
This is important if you want to run mass email campaigns and reach a broader audience without worrying about hitting the daily limit. Feb 21, 2024
Last time i checked max sending was around 150emails/h

To help prevent spam and keep accounts safe, Gmail limits the number of emails you can send or get per day, and the number of people you can add as recipients.​


Its just about testing the waters : ))
 
Nismo-GTR сказал(а):
Has anyone tested it yet? Is it still 150 emails per hour?
This came out from google... i can assure you more of 50 Yes they will suspend your gmail for at least 10min up to 1h , and yes its about the reputation of the account..

Per hour: There is no official information. However, from our experience, it's good to send no more than 20 messages an hour from a free Gmail account.
Additional good-to-know: If you exceed Gmail's limit for sending emails, your account will get blocked for 1-24 hours

https://www.smartlead.ai/blog/gmail-sending-limits

Send 10,000 emails with Gmail [Updated 2026]

You can now send mass email campaigns with 10,000+ addresses using Gmail, and we will distribute the emails over multiple days automatically. Learn how!
www.gmass.co www.gmass.co
The Main Problem Will Always Be The Hour/limit & Recipients Limit ;)
Good Luck
 
AllienWare сказал(а):
This came out from google... i can assure you more of 50 Yes they will suspend your gmail for at least 10min up to 1h , and yes its about the reputation of the account..

Per hour: There is no official information. However, from our experience, it's good to send no more than 20 messages an hour from a free Gmail account.
Additional good-to-know: If you exceed Gmail's limit for sending emails, your account will get blocked for 1-24 hours

https://www.smartlead.ai/blog/gmail-sending-limits

Send 10,000 emails with Gmail [Updated 2026]

You can now send mass email campaigns with 10,000+ addresses using Gmail, and we will distribute the emails over multiple days automatically. Learn how!
www.gmass.co www.gmass.co
The Main Problem Will Always Be The Hour/limit & Recipients Limit ;)
Good Luck

If I send phishing, will my account be blocked forever?
 
Nismo-GTR сказал(а):
If I send phishing, will my account be blocked forever?
Even for sending more then 50emails to different recipients at work they suspended the account
For phishing 100% will be blocked, and posted for deletion ,
You will have like 30days to ask for your data (emails in/out and files on the gmail) or to apply for appeal to re'activate your gmail.
 
AllienWare сказал(а):
Even for sending more then 50emails to different recipients at work they suspended the account
For phishing 100% will be blocked, and posted for deletion ,
You will have like 30days to ask for your data (emails in/out and files on the gmail) or to apply for appeal to re'activate your gmail.
then this method is crap
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх