零基資安訓練營（八）：如果你的 Gmail 或 YouTube 戶口被入侵了

文：薯伯伯

如果你的 Google 戶口被入侵了，那就代表你的 Gmail 戶口及 YouTube 戶口也同時被入侵了。那假設你成功把戶口救回來，下一步要做甚麼事情呢？

一，確保更改密碼，而這個密碼一定要從來沒有在任何網站用過。如果你以前曾經在其他毫不相關的論壇使用過，也不可以重複使用，因為你以前曾經使用過的密碼，可能早就在一些密碼搜尋引擎洩漏了。

二，使用二步認證，見前文。

三，要特別留意 Gmail 戶口的隱藏設定，有沒有被人改動過。主要是以下三個設定：

A. IMAP 存取
B. 轉發（Forwarding）
C. 篩選器及已封鎖的地址（Filters and Block Addresses）

以下一步一步，手拉手跟著做。

A. IMAP 存取

打開 https://mail.google.com/mail/u/0/#settings/fwdandpop
看看「IMAP 存取」有沒有啟用，在大多情況下，其實都可以選擇「停用」。
如果「停用」之後，你發覺電腦或手機上的 app 無法存取電郵，才再重新啟用。

B. 轉發（Forwarding）

同樣打開 https://mail.google.com/mail/u/0/#settings/fwdandpop
看看「轉寄」一欄，有沒有人新增了其他你不認識的電郵地址。
如果有的話，先記下該地址，作以後追查之用，然後把該地址刪除。

C. 篩選器及已封鎖的地址（Filters and Block Addresses）

這個是最重要的步驟！
先到 https://mail.google.com/mail/u/0/#settings/filters
看看有沒有新增了任何篩選器。
尤其要留意，有否把某些郵件自動刪除。
留意有沒有故意把銀行信件、PayPal、Patreon 或 Payoneer 等等的電郵自動轉發到其他不相關的電郵地址。如果有，先記下該電郵地址，以便以後追查之用，然後再刪去相關的篩選器。

暫時只想到這些，如果你有朋友的 Google, Gmail, Youtube 戶口被入侵了，請代為轉告上列的注意事項。

圖：freepik

*———*

請訂閱 Patreon 頻道，支持不受干預的獨立分析及評論。

http://patreon.com/pazu

這幾天更新的 開源封包分析程式 BruteShark

https://github.com/odedshimon/BruteShark
重點功能
1.提取未加密協議用戶名和密碼（HTTP，FTP，Telnet，IMAP，SMTP ...）
2.提取身份驗證哈希並使用Hashcat（Kerberos，NTLM，CRAM-MD5，HTTP-Digest ...）對其進行破解
3.建立可視化網絡圖（網絡節點和用戶）
4.重建所有TCP會話

安裝好後 如果沒有現成環境錄下封包, 這邊有封包樣本可以下載

https://wiki.wireshark.org/SampleCaptures
自己打開練習分析
可練習案例中的 SMB3.1 handshake 封包中
NTLMv2 抓到hash後送入hashcat爆破

如果有其他封包分析程式歡迎討論跟分享 (以前都用cain)

#OSSLab #封包分析