Penetrar en la seguridad de diferentes correos/RRSS (gmail)

Buenas noches!

A ver si me podéis echar un cable... llevo ya varios meses estudiando a través de algún curso de udemy entre otros métodos, diferentes estrategias para conseguir credenciales (phising con ingeniería social etc). El verdadero problema viene a la hora de entrar a según qué sitios... ya que hoy en día la tecnología piensa por el ser humano y la seguridad en algunos sitios es alta. Entiendo que si una persona activa el doble factor en un icloud la única manera sea entrar a través de su propio terminal o a través de ingeniería social sacar el doble factor...

Pero, eso es icloud, facebook por ejemplo suele tener la opción de reconocer fotos de amigos, que con otra cuenta abierta en otro explorador es muy fácil de saltar, hotmail suele tener poca seguridad pero por lo que vengo a preguntar es por la peor de todas...: Gmail. Sin haber activado ningún doble factor, el algoritmo es tan complejo que cualquier cosa que le suena mal, salta una especie de doble factor donde a la víctima le llega un mensaje preguntándole si ha sido el/ella el que ha intentado iniciar sesión y de ser así hay que pretar el número que te pida en el PC y seguramente una obligación de cambiar la contraseña.

Es como que mete varios elementos en una olla como pueden ser: Sistema operativo y versión del mismo (por lo tanto sabe si es tablet, móvil, PC...), Ip y geolocalización, mac del dispositivo con el que se está iniciando sesión, Navegador y versión del mismo... todo esto crea una especie de cerebro en forma de seguridad y a lo que le huele raro quién está metiendo las llaves te pregunta si tienes tu móvil y pregunta si has iniciado sesión y pretar el mismo número que sale en el pc (un doble factor mejorado)... Sólo algunas veces con confirmar móvil o dirección alternativa, ya deja entrar pero normalmente suele pasar cuando la persona no presta atención a esos mensajes de alerta durante días, o la cuenta no contiene mucha información... Y si la víctima no tiene añadido el móvil al gmail habrá que confirmar la cuenta con el correo electrónico alternativo, lo cual no es normal ya que casi todo el mundo mete ya su móvil en el gmail.

¿Es posible ser más listo que google? ¿Se puede violar la seguridad de gmail? Es más, puede que esto tenga algún término o nomenclatura en el hacking pero lo desconozco y me gustaría aprender sobre ello.

Gracias de antemano!

Lo primero que se me ocurre es revisar si el email al que quieres entrar esta logeado en alguna otra plataforma e intentar por esa y ver si las credenciales son las mismas y cuando pruebes si lo son tu enviar un correo de "Actividad sospechosa" y estar atento o automatizar el doble factor para cuando la persona que estas atacando ponga el código tu lo reenvíes al instante a la web original. De todas formas es lo primero que se me viene a la cabeza y no se si sirva pero de todas formas lo comento

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Lo primero que se me ocurre es revisar si el email al que quieres entrar esta logeado en alguna otra plataforma e intentar por esa y ver si las credenciales son las mismas y cuando pruebes si lo son tu enviar un correo de "Actividad sospechosa" y estar atento o automatizar el doble factor para cuando la persona que estas atacando ponga el código tu lo reenvíes al instante a la web original. De todas formas es lo primero que se me viene a la cabeza y no se si sirva pero de todas formas lo comento

Muchas gracias! Es una opción pero creo que aún siendo otra plataforma, el mismo doble factor sincronizado se traslada a esa otra plataforma, más o menos lo he intentado ya.

El caso es que cuando haces un buen phising puedes sacar a parte de credenciales, información del dispositivo donde se ha logueado, ip, mac del mismo... si hubiera alguna posibilidad para enmascarar la información real de donde se está iniciando sesión con esos datos, entraría sin problema pues no le resultaría lo suficientemente raro para saltar la verificación.

¿Igual me estoy flipando y es directamente imposible entrar a un gmail? Siendo que en otros sitios es tan fácil, llama bastante la atención.

Hola
Para poder pasar la seguridad de google necesitas varios pasos , aunque se podria decir  vulnerar la inteligencia artificial de google

Paso 1 -  Necesitas recolectar informacion del dispositivo , Ip , Geo Ip , Geo Ubicacion ,  sistema operativo , etc  todo lo necesario
de un agent user ,  incluyendo el idioma del dispositivo o sistema "Content language" ,   No tienes permitido ver los links. Registrarse o Entrar a mi cuenta  En esta pagina te mostrara tu informacion como cpu ,  cookies , canvas entre otros aspectos que necesitaras .

Paso 2 - Necesitas conseguir una plataforma que recoja esa informacion en tiempo real  , en este caso puedes
modificar un Exploit Kit antiguo como por ejemplo Fragus * o zopaCK son funcionales.

Paso 3 - Actualiza los datos que capturara el exploit , en este paso tu ek servira para recolectar informacion de la persona

Paso 4 -  Tu ek no infecta y no es detectado por av  ya que unicamente recolecta informacion personal , necesitaras un servidor ,

Paso 5 -  Nunca acercarte a google antes del ataque , 

Paso 6 -  Para este paso los phising que hay en tools como set  y demas herramientas de github  nunca llegaran a su destino  , el phising ya no se ataca por correo si no externo ,

Paso 7 - Para lanzar phising  de correo a correo es necesario , servidores reconocidos  por alexa rank , servidores con SSL verificado que tengan .us . uk .ca .gob  o .gov , 

Paso 8 -  Este ataque lo llamo Autorizacion por el mismo usuario , 
Como funciona necesitas un diseño atractivo ,  Iniciar session con google es el principal paso
Una ves la persona  inicie session  el servidor detendra operaciones  . al darle un retardo de unos 10 segundos .
El servidor de google responde en 1 o 2 segundos con ese tiempo es suficiente para obtener todo lo necesario

Hasta este paso ya tienes el servidor legitimo de google con tu servidor conectado
Todo lo que envies llegara a bandeja de entrada y verificado

Paso 9 hora de la invitacion
Con tu servidor verificado por google , hasta este punto su inteligencia artificial dejo de exitir , aqui ya puedes enviar pdf o docx infectados  la utilizacion de documentos infectados  ya es anticuado

Paso 10  invitacion
Diseñas un buen letter y cosas atractivas para tu victima   

Paso 11 
El click sera redirecionado a tu servidor con un diseño profesional y el logo de google
la persona se autentificara y no sospechara y nadie sabra que sucedio .  ya solo utilizas los datos recolectados por tu ek con un socks5 que se aproxime a la ip publica

Modificas el Agent user con las mismas caracteristicas de la victima y podras iniciar normalmente su cuenta

Capturas de como se muestra un bypass Artificial Intelligence







El servidor deteniendo operaciones , Google registro y verifico  el servidor



Victima iniciando session  atraves de la invitacion .

sin virus , ni malware ,  ni falsas tools de github
Tema para fines educativos

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hola
Para poder pasar la seguridad de google necesitas varios pasos , aunque se podria decir  vulnerar la inteligencia artificial de google

......

Hola @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta , muchas gracias. No sé por qué no vi este mensaje en su día...

El caso es que me pierdo en muchas de las cosas que me dices en esos pasos. No soy ni mucho menos avanzado en el tema, pero para tener conocimientos de cómo penetrar en otras redes no me han hecho falta... Me llama la atención.

El caso es que estos días en un telegram me dijeron de usar el programa "Evilginx", he cogido un vps con ubuntu y un dominio no-ip y cuando no me salta un error me salta otro, relacionados con Acme (certificados de letsencrypt) y Ngix.

El caso es que esta herramienta proporciona unos phishlets que una vez activados, si la víctima entra te dice usuario y contraseña y te da acceso a una cookie con toda la información de todo para que la metas en el navegador y puedas iniciar sesión pasándote el 2FA, pero como te digo me da varios errores y no consigo activar el phishlet.

A ver si consigo ayuda ya que me sigue interesando el tema la verdad...