mirror of
https://github.com/HackTricks-wiki/hacktricks-cloud.git
synced 2026-01-19 08:00:45 -08:00
Translated ['.github/pull_request_template.md', 'src/README.md', 'src/pe
This commit is contained in:
Translator
@@ -10,15 +10,15 @@ https://book.hacktricks.xyz/generic-methodologies-and-resources/phishing-methodo
|
||||
|
||||
## Google Groups Phishing
|
||||
|
||||
स्पष्ट रूप से, डिफ़ॉल्ट रूप से, कार्यक्षेत्र के सदस्यों [**समूह बना सकते हैं**](https://groups.google.com/all-groups) **और लोगों को आमंत्रित कर सकते हैं।** आप फिर उस ईमेल को संशोधित कर सकते हैं जो उपयोगकर्ता को भेजा जाएगा **कुछ लिंक जोड़कर।** **ईमेल एक गूगल पते से आएगा**, इसलिए यह **वैध** लगेगा और लोग लिंक पर क्लिक कर सकते हैं।
|
||||
स्पष्ट रूप से, डिफ़ॉल्ट रूप से, workspace सदस्यों [**समूह बना सकते हैं**](https://groups.google.com/all-groups) **और लोगों को आमंत्रित कर सकते हैं**। आप फिर उस ईमेल को संशोधित कर सकते हैं जो उपयोगकर्ता को भेजा जाएगा **कुछ लिंक जोड़कर।** **ईमेल एक गूगल पते से आएगा**, इसलिए यह **वैध** लगेगा और लोग लिंक पर क्लिक कर सकते हैं।
|
||||
|
||||
यह भी संभव है कि **FROM** पते को **Google समूह ईमेल** के रूप में सेट किया जाए ताकि **समूह के अंदर उपयोगकर्ताओं को अधिक ईमेल भेजे जा सकें**, जैसे कि निम्नलिखित छवि में जहां समूह **`google--support@googlegroups.com`** बनाया गया था और समूह के सभी सदस्यों को **एक ईमेल भेजा गया** (जो बिना किसी सहमति के जोड़े गए थे)
|
||||
यह भी संभव है कि **FROM** पते को **Google समूह ईमेल** के रूप में सेट किया जाए ताकि **समूह के अंदर उपयोगकर्ताओं को अधिक ईमेल भेजे जा सकें**, जैसे कि निम्नलिखित छवि में जहां समूह **`google--support@googlegroups.com`** बनाया गया था और समूह के सभी सदस्यों को **ईमेल भेजा गया** (जो बिना किसी सहमति के जोड़े गए थे)
|
||||
|
||||
<figure><img src="../../../images/image (5) (1).png" alt=""><figcaption></figcaption></figure>
|
||||
|
||||
## Google Chat Phishing
|
||||
|
||||
आप किसी व्यक्ति के साथ **चैट शुरू करने** में सक्षम हो सकते हैं बस उनके ईमेल पते को लेकर या **बात करने के लिए आमंत्रण भेज सकते हैं।** इसके अलावा, यह संभव है कि **एक स्पेस बनाएँ** जिसका कोई भी नाम हो सकता है (जैसे "Google Support") और **सदस्यों को आमंत्रित करें।** यदि वे स्वीकार करते हैं, तो वे सोच सकते हैं कि वे Google Support से बात कर रहे हैं:
|
||||
आप किसी व्यक्ति के साथ **चैट शुरू करने** में सक्षम हो सकते हैं बस उनके ईमेल पते को लेकर या **बात करने के लिए आमंत्रण भेज सकते हैं**। इसके अलावा, यह संभव है कि **एक स्पेस बनाएँ** जिसका कोई भी नाम हो सकता है (जैसे "Google Support") और इसमें सदस्यों को **आमंत्रित करें**। यदि वे स्वीकार करते हैं तो वे सोच सकते हैं कि वे Google Support से बात कर रहे हैं:
|
||||
|
||||
<figure><img src="../../../images/image (6).png" alt=""><figcaption></figcaption></figure>
|
||||
|
||||
@@ -30,7 +30,7 @@ https://book.hacktricks.xyz/generic-methodologies-and-resources/phishing-methodo
|
||||
## Google Doc Phishing
|
||||
|
||||
पहले यह संभव था कि एक **स्पष्ट रूप से वैध दस्तावेज़** बनाया जाए और एक टिप्पणी में **कुछ ईमेल (जैसे @user@gmail.com)** का उल्लेख किया जाए। Google **उस ईमेल पते पर एक ईमेल भेजता था** यह सूचित करते हुए कि उन्हें दस्तावेज़ में उल्लेखित किया गया था।\
|
||||
आजकल, यह काम नहीं करता लेकिन यदि आप **शिकार को दस्तावेज़ तक पहुंच देते हैं** तो Google एक ईमेल भेजेगा जो यह संकेत करेगा। यह वह संदेश है जो तब प्रकट होता है जब आप किसी का उल्लेख करते हैं:
|
||||
आजकल, यह काम नहीं करता लेकिन यदि आप **शिकार को दस्तावेज़ तक पहुंच देते हैं** तो Google एक ईमेल भेजेगा जो यह संकेत देगा। यह वह संदेश है जो तब प्रकट होता है जब आप किसी का उल्लेख करते हैं:
|
||||
|
||||
<figure><img src="../../../images/image (7).png" alt=""><figcaption></figcaption></figure>
|
||||
|
||||
@@ -39,22 +39,22 @@ https://book.hacktricks.xyz/generic-methodologies-and-resources/phishing-methodo
|
||||
|
||||
## Google Calendar Phishing
|
||||
|
||||
आप **एक कैलेंडर इवेंट बना सकते हैं** और जितने भी ईमेल पते हैं उन सभी को जोड़ सकते हैं जिनका आप हमला कर रहे हैं। इस कैलेंडर इवेंट को **वर्तमान समय से 5 या 15 मिनट** में शेड्यूल करें। इवेंट को वैध दिखाएं और **एक टिप्पणी और एक शीर्षक डालें जो यह संकेत दे कि उन्हें कुछ पढ़ना है** (साथ में **फिशिंग लिंक**).
|
||||
आप **एक कैलेंडर इवेंट** बना सकते हैं और जितने भी ईमेल पते हैं उन सभी को जोड़ सकते हैं जिनका आप हमला कर रहे हैं। इस कैलेंडर इवेंट को वर्तमान समय से **5 या 15 मिनट** में शेड्यूल करें। इवेंट को वैध दिखाएं और **एक टिप्पणी और एक शीर्षक डालें जो यह संकेत दे कि उन्हें कुछ पढ़ना है** (साथ में **फिशिंग लिंक**).
|
||||
|
||||
यह वह चेतावनी है जो ब्राउज़र में "लोगों को निकालना" शीर्षक के साथ दिखाई देगी, इसलिए आप एक अधिक फिशिंग जैसा शीर्षक सेट कर सकते हैं (और यहां तक कि अपने ईमेल से जुड़े नाम को भी बदल सकते हैं)।
|
||||
यह वह चेतावनी है जो ब्राउज़र में "Firing People" शीर्षक के साथ दिखाई देगी, इसलिए आप एक अधिक फिशिंग जैसा शीर्षक सेट कर सकते हैं (और यहां तक कि अपने ईमेल से जुड़े नाम को भी बदल सकते हैं)।
|
||||
|
||||
<figure><img src="../../../images/image (8).png" alt=""><figcaption></figcaption></figure>
|
||||
|
||||
कम संदिग्ध दिखाने के लिए:
|
||||
इसे कम संदिग्ध दिखाने के लिए:
|
||||
|
||||
- इसे इस तरह सेट करें कि **प्राप्तकर्ता अन्य आमंत्रित लोगों को न देख सकें**
|
||||
- **इवेंट के बारे में सूचित करने वाले ईमेल न भेजें।** फिर, लोग केवल 5 मिनट में एक बैठक के बारे में अपनी चेतावनी देखेंगे और उन्हें उस लिंक को पढ़ने की आवश्यकता है।
|
||||
- **ईवेंट के बारे में सूचित करने वाले ईमेल न भेजें**। फिर, लोग केवल 5 मिनट में एक बैठक के बारे में अपनी चेतावनी देखेंगे और उन्हें उस लिंक को पढ़ने की आवश्यकता है।
|
||||
- स्पष्ट रूप से API का उपयोग करके आप **सत्य** सेट कर सकते हैं कि **लोगों ने** इवेंट को **स्वीकृत** किया है और यहां तक कि **उनकी ओर से टिप्पणियाँ भी बना सकते हैं**।
|
||||
|
||||
## App Scripts Redirect Phishing
|
||||
|
||||
यह संभव है कि [https://script.google.com/](https://script.google.com/) में एक स्क्रिप्ट बनाई जाए और **इसे एक वेब एप्लिकेशन के रूप में उजागर किया जाए जो सभी के लिए सुलभ हो** जो वैध डोमेन **`script.google.com`** का उपयोग करेगा।\
|
||||
कुछ कोड के साथ जैसे निम्नलिखित, एक हमलावर इस पृष्ठ में मनमाना सामग्री लोड कर सकता है बिना डोमेन तक पहुंच को रोके:
|
||||
कुछ कोड के साथ जैसे निम्नलिखित एक हमलावर इस पृष्ठ पर मनमाना सामग्री लोड कर सकता है बिना डोमेन तक पहुंच को रोके:
|
||||
```javascript
|
||||
function doGet() {
|
||||
return HtmlService.createHtmlOutput(
|
||||
@@ -62,65 +62,65 @@ return HtmlService.createHtmlOutput(
|
||||
).setXFrameOptionsMode(HtmlService.XFrameOptionsMode.ALLOWALL)
|
||||
}
|
||||
```
|
||||
For example accessing [https://script.google.com/macros/s/AKfycbwuLlzo0PUaT63G33MtE6TbGUNmTKXCK12o59RKC7WLkgBTyltaS3gYuH_ZscKQTJDC/exec](https://script.google.com/macros/s/AKfycbwuLlzo0PUaT63G33MtE6TbGUNmTKXCK12o59RKC7WLkgBTyltaS3gYuH_ZscKQTJDC/exec) you will see:
|
||||
उदाहरण के लिए [https://script.google.com/macros/s/AKfycbwuLlzo0PUaT63G33MtE6TbGUNmTKXCK12o59RKC7WLkgBTyltaS3gYuH_ZscKQTJDC/exec](https://script.google.com/macros/s/AKfycbwuLlzo0PUaT63G33MtE6TbGUNmTKXCK12o59RKC7WLkgBTyltaS3gYuH_ZscKQTJDC/exec) पर पहुँचने पर आप देखेंगे:
|
||||
|
||||
<figure><img src="../../../images/image (4) (1).png" alt=""><figcaption></figcaption></figure>
|
||||
|
||||
> [!TIP]
|
||||
> ध्यान दें कि जब सामग्री एक iframe के अंदर लोड होती है तो एक चेतावनी दिखाई देगी।
|
||||
> ध्यान दें कि जब सामग्री एक iframe के अंदर लोड होती है, तो एक चेतावनी दिखाई देगी।
|
||||
|
||||
## App Scripts OAuth Phishing
|
||||
## ऐप स्क्रिप्ट्स OAuth फ़िशिंग
|
||||
|
||||
यह संभव है कि दस्तावेज़ों से जुड़े App Scripts बनाए जाएं ताकि पीड़ित के OAuth टोकन तक पहुंच प्राप्त करने की कोशिश की जा सके, अधिक जानकारी के लिए देखें:
|
||||
ऐसे ऐप स्क्रिप्ट्स बनाना संभव है जो दस्तावेज़ों से जुड़े होते हैं ताकि पीड़ित के OAuth टोकन तक पहुँच प्राप्त करने की कोशिश की जा सके, अधिक जानकारी के लिए देखें:
|
||||
|
||||
{{#ref}}
|
||||
gws-app-scripts.md
|
||||
{{#endref}}
|
||||
|
||||
## OAuth Apps Phishing
|
||||
## OAuth ऐप्स फ़िशिंग
|
||||
|
||||
पिछले किसी भी तकनीक का उपयोग उपयोगकर्ता को एक **Google OAuth एप्लिकेशन** तक पहुँचाने के लिए किया जा सकता है जो उपयोगकर्ता से कुछ **एक्सेस** **अनुरोध** करेगा। यदि उपयोगकर्ता **स्रोत** पर **विश्वास** करता है तो वह **एप्लिकेशन** पर भी **विश्वास** कर सकता है (भले ही यह उच्च विशेषाधिकार प्राप्त अनुमतियों के लिए पूछ रहा हो)।
|
||||
पिछले किसी भी तकनीक का उपयोग उपयोगकर्ता को एक **Google OAuth एप्लिकेशन** तक पहुँचने के लिए किया जा सकता है जो उपयोगकर्ता से कुछ **एक्सेस** **अनुरोध** करेगा। यदि उपयोगकर्ता **स्रोत** पर **विश्वास** करता है, तो वह **ऐप्लिकेशन** पर भी **विश्वास** कर सकता है (भले ही यह उच्च विशेषाधिकार प्राप्त अनुमतियों के लिए पूछ रहा हो)।
|
||||
|
||||
> [!NOTE]
|
||||
> ध्यान दें कि Google कई मामलों में एक बदसूरत प्रॉम्प्ट प्रस्तुत करता है जो चेतावनी देता है कि एप्लिकेशन अविश्वसनीय है और Workspace प्रशासक यहां तक कि लोगों को OAuth एप्लिकेशन स्वीकार करने से रोक सकते हैं।
|
||||
> ध्यान दें कि Google कई मामलों में एक भद्दा प्रॉम्प्ट प्रस्तुत करता है जो चेतावनी देता है कि एप्लिकेशन अविश्वसनीय है और Workspace प्रशासक लोगों को OAuth एप्लिकेशन स्वीकार करने से भी रोक सकते हैं।
|
||||
|
||||
**Google** उपयोगकर्ताओं की ओर से कई **Google सेवाओं** के साथ **संवाद करने** के लिए एप्लिकेशन बनाने की अनुमति देता है: Gmail, Drive, GCP...
|
||||
**Google** ऐसे एप्लिकेशन बनाने की अनुमति देता है जो **उपयोगकर्ताओं की ओर से** कई **Google सेवाओं** के साथ **संवाद** कर सकते हैं: Gmail, Drive, GCP...
|
||||
|
||||
जब किसी एप्लिकेशन को **अन्य उपयोगकर्ताओं की ओर से कार्य करने** के लिए बनाया जाता है, तो डेवलपर को **GCP के अंदर एक OAuth ऐप** बनाना होगा और उन स्कोप (अनुमतियों) को निर्दिष्ट करना होगा जिनकी ऐप को उपयोगकर्ताओं के डेटा तक पहुँचने की आवश्यकता है।\
|
||||
जब एक **उपयोगकर्ता** उस **एप्लिकेशन** का **उपयोग** करना चाहता है, तो उन्हें **स्वीकृति** देने के लिए **प्रॉम्प्ट** किया जाएगा कि एप्लिकेशन उनके डेटा तक पहुँच प्राप्त करेगा जो स्कोप में निर्दिष्ट है।
|
||||
जब किसी एप्लिकेशन को **अन्य उपयोगकर्ताओं की ओर से कार्य करने** के लिए बनाया जाता है, तो डेवलपर को **GCP के अंदर एक OAuth ऐप** बनाना होगा और उन स्कोप्स (अनुमतियों) को निर्दिष्ट करना होगा जिनकी ऐप को उपयोगकर्ताओं के डेटा तक पहुँचने की आवश्यकता है।\
|
||||
जब एक **उपयोगकर्ता** उस **ऐप्लिकेशन** का **उपयोग** करना चाहता है, तो उन्हें **स्वीकृति** देने के लिए **प्रॉम्प्ट** किया जाएगा कि एप्लिकेशन उनके डेटा तक पहुँच प्राप्त करेगा जो स्कोप्स में निर्दिष्ट है।
|
||||
|
||||
यह **फिशिंग** गैर-तकनीकी उपयोगकर्ताओं को **संवेदनशील जानकारी तक पहुँचने वाले एप्लिकेशन** का उपयोग करने के लिए एक बहुत ही आकर्षक तरीका है क्योंकि वे परिणामों को नहीं समझ सकते। हालाँकि, संगठनों के खातों में, इसे होने से रोकने के तरीके हैं।
|
||||
|
||||
### Unverified App prompt
|
||||
### अविश्वसनीय ऐप प्रॉम्प्ट
|
||||
|
||||
जैसा कि उल्लेख किया गया था, Google हमेशा उपयोगकर्ता को **अनुमतियों को स्वीकार करने के लिए प्रॉम्प्ट** करेगा जो वे एप्लिकेशन को अपनी ओर से दे रहे हैं। हालाँकि, यदि एप्लिकेशन को **खतरनाक** माना जाता है, तो Google पहले **प्रॉम्प्ट** दिखाएगा जो यह संकेत देगा कि यह **खतरनाक** है और उपयोगकर्ता के लिए एप्लिकेशन को अनुमतियाँ देने में **अधिक कठिनाई** पैदा करेगा।
|
||||
जैसा कि उल्लेख किया गया था, Google हमेशा उपयोगकर्ता को **अनुमतियों को स्वीकार करने के लिए प्रॉम्प्ट** करेगा जो वे एप्लिकेशन को अपनी ओर से दे रहे हैं। हालाँकि, यदि एप्लिकेशन को **खतरनाक** माना जाता है, तो Google पहले **प्रॉम्प्ट** दिखाएगा जो यह संकेत देगा कि यह **खतरनाक** है और उपयोगकर्ता के लिए ऐप को अनुमतियाँ देने में **अधिक कठिनाई** पैदा करेगा।
|
||||
|
||||
यह प्रॉम्प्ट उन ऐप्स में दिखाई देता है:
|
||||
|
||||
- कोई भी स्कोप जो निजी डेटा (Gmail, Drive, GCP, BigQuery...) तक पहुँच सकता है
|
||||
- 100 से कम उपयोगकर्ताओं वाले ऐप्स (100 से अधिक ऐप्स के लिए एक समीक्षा प्रक्रिया भी आवश्यक है ताकि अविश्वसनीय प्रॉम्प्ट दिखाना बंद किया जा सके)
|
||||
- 100 से कम उपयोगकर्ताओं वाले ऐप्स (100 से अधिक उपयोगकर्ताओं वाले ऐप्स के लिए एक समीक्षा प्रक्रिया भी आवश्यक है ताकि अविश्वसनीय प्रॉम्प्ट दिखाना बंद किया जा सके)
|
||||
|
||||
### Interesting Scopes
|
||||
### दिलचस्प स्कोप्स
|
||||
|
||||
[**यहां**](https://developers.google.com/identity/protocols/oauth2/scopes) आप सभी Google OAuth स्कोप की सूची पा सकते हैं।
|
||||
[**यहाँ**](https://developers.google.com/identity/protocols/oauth2/scopes) आप सभी Google OAuth स्कोप्स की सूची पा सकते हैं।
|
||||
|
||||
- **cloud-platform**: अपने डेटा को **Google Cloud Platform** सेवाओं के बीच देखें और प्रबंधित करें। आप GCP में उपयोगकर्ता का प्रतिनिधित्व कर सकते हैं।
|
||||
- **admin.directory.user.readonly**: अपने संगठन के GSuite निर्देशिका को देखें और डाउनलोड करें। सभी उपयोगकर्ताओं के नाम, फोन, कैलेंडर यूआरएल प्राप्त करें।
|
||||
|
||||
### Create an OAuth App
|
||||
### एक OAuth ऐप बनाएं
|
||||
|
||||
**OAuth Client ID बनाना शुरू करें**
|
||||
**OAuth क्लाइंट आईडी बनाना शुरू करें**
|
||||
|
||||
1. [https://console.cloud.google.com/apis/credentials/oauthclient](https://console.cloud.google.com/apis/credentials/oauthclient) पर जाएं और सहमति स्क्रीन को कॉन्फ़िगर करने पर क्लिक करें।
|
||||
2. फिर, आपसे पूछा जाएगा कि **उपयोगकर्ता प्रकार** **आंतरिक** (केवल आपके संगठन के लोगों के लिए) है या **बाहरी**। उस विकल्प का चयन करें जो आपकी आवश्यकताओं के अनुसार हो
|
||||
- आंतरिक तब दिलचस्प हो सकता है जब आपने पहले ही संगठन के एक उपयोगकर्ता को समझौता कर लिया है और आप इस ऐप को दूसरे को फिश करने के लिए बना रहे हैं।
|
||||
- आंतरिक तब दिलचस्प हो सकता है जब आपने पहले ही संगठन के एक उपयोगकर्ता को समझौता कर लिया है और आप किसी अन्य को फ़िश करने के लिए यह ऐप बना रहे हैं।
|
||||
3. ऐप को एक **नाम** दें, एक **समर्थन ईमेल** (ध्यान दें कि आप खुद को थोड़ा अधिक गुमनाम बनाने के लिए एक गूगल ग्रुप ईमेल सेट कर सकते हैं), एक **लोगो**, **अधिकृत डोमेन** और **अपडेट्स** के लिए एक और **ईमेल** दें।
|
||||
4. **OAuth स्कोप** का **चयन** करें।
|
||||
- यह पृष्ठ गैर-संवेदनशील अनुमतियों, संवेदनशील अनुमतियों और प्रतिबंधित अनुमतियों में विभाजित है। हर बार जब आप एक नई अनुमति जोड़ते हैं, तो यह अपनी श्रेणी में जोड़ी जाती है। अनुरोधित अनुमतियों के आधार पर उपयोगकर्ता को यह संकेत देने के लिए विभिन्न प्रॉम्प्ट दिखाई देंगे कि ये अनुमतियाँ कितनी संवेदनशील हैं।
|
||||
- **`admin.directory.user.readonly`** और **`cloud-platform`** दोनों संवेदनशील अनुमतियाँ हैं।
|
||||
5. **परीक्षण उपयोगकर्ताओं को जोड़ें।** जब तक ऐप की स्थिति परीक्षण में है, केवल ये उपयोगकर्ता ऐप तक पहुँचने में सक्षम होंगे इसलिए सुनिश्चित करें कि **उस ईमेल को जोड़ें जिसे आप फिश करने जा रहे हैं**।
|
||||
4. **OAuth स्कोप्स** का **चयन** करें।
|
||||
- यह पृष्ठ गैर-संवेदनशील अनुमतियों, संवेदनशील अनुमतियों और प्रतिबंधित अनुमतियों में विभाजित है। हर बार जब आप एक नई अनुमति जोड़ते हैं, तो यह उसकी श्रेणी में जोड़ी जाती है। अनुरोधित अनुमतियों के आधार पर उपयोगकर्ता को विभिन्न प्रॉम्प्ट दिखाई देंगे जो यह संकेत करते हैं कि ये अनुमतियाँ कितनी संवेदनशील हैं।
|
||||
- दोनों **`admin.directory.user.readonly`** और **`cloud-platform`** संवेदनशील अनुमतियाँ हैं।
|
||||
5. **परीक्षण उपयोगकर्ताओं को जोड़ें।** जब तक ऐप की स्थिति परीक्षण में है, केवल ये उपयोगकर्ता ऐप तक पहुँच पाने में सक्षम होंगे इसलिए सुनिश्चित करें कि **उस ईमेल को जोड़ें जिसे आप फ़िश करने जा रहे हैं**।
|
||||
|
||||
अब चलिए **पिछले बनाए गए OAuth Client ID** का उपयोग करके **वेब एप्लिकेशन के लिए क्रेडेंशियल्स प्राप्त करते हैं**:
|
||||
अब हम **पिछले बनाए गए OAuth क्लाइंट आईडी** का उपयोग करके **वेब एप्लिकेशन के लिए क्रेडेंशियल्स** प्राप्त करते हैं:
|
||||
|
||||
1. [https://console.cloud.google.com/apis/credentials/oauthclient](https://console.cloud.google.com/apis/credentials/oauthclient) पर वापस जाएं, इस बार एक अलग विकल्प दिखाई देगा।
|
||||
2. **वेब एप्लिकेशन के लिए क्रेडेंशियल्स बनाने** का चयन करें
|
||||
@@ -135,7 +135,7 @@ cd gcp_oauth_phishing_example
|
||||
pip install flask requests google-auth-oauthlib
|
||||
python3 app.py --client-id "<client_id>" --client-secret "<client_secret>"
|
||||
```
|
||||
जाएँ **`http://localhost:8000`** पर Google के साथ लॉगिन बटन पर क्लिक करें, आपको इस तरह का एक संदेश **प्रदर्शित** किया जाएगा:
|
||||
**`http://localhost:8000`** पर जाएं, Google के साथ लॉगिन बटन पर क्लिक करें, आपको इस तरह का एक संदेश **प्रदर्शित** किया जाएगा:
|
||||
|
||||
<figure><img src="../../../images/image (333).png" alt=""><figcaption></figcaption></figure>
|
||||
|
||||
|
||||
Reference in New Issue
Block a user