Esse é um caso onde o cibercriminoso fez a lição de casa em relação às permissões de acesso ao banco de dados do phishing.

É mais um que tem como alvo o PayPal, só que ao invés de receber as informações das vítimas por e-mail ele insere em um banco de dados.

Como tive acesso ao código-fonte PHP do phishing foi possível saber onde estava esse banco e qual era o usuário e senha. Conforme vemos abaixo.

Com essas informações pode-se utilizar qualquer client do MySQL para se conectar ao banco de dados. Foi o que fiz utilizando o MySQL Workbench, informando o host, user e password. A conexão com o banco ocorreu sem problemas.


Quando realizei um SELECT para visualizar as informações que já estavam inseridas na tabela log, o comando não executou, permissão negada.

A mensagem de erro fala que o usuário ccs a partir do meu endereço IP não tem permissão de acesso para o comando SELECT na tabela log.

Isso mostra que o cibercriminoso configurou corretamente as permissões do usuário. Sabendo que o código-fonte poderia ser visualizado por outras pessoas ele permitiu que esse usuário só realizasse INSERTs no banco, o que já é suficiente para os propósitos do golpe.

Interessante que muitas vezes nós mesmos não configuramos nossas aplicações e banco de dados de forma tão precisa como ele fez, o usuário com a mínima permissão possível. Devemos ficar atentos para essa questão também.

Ainda um outro detalhe desse phishing, analisando os nomes das variáveis vemos que algumas não estão em inglês e sim em alemão:

Vorname: Nome
Nachname: Sobrenome
Kreditkartennummer: Número do cartão de crédito
Karteninhaber: Titular do cartão
Ablaufdatum1: Data de validade 1
Ablaufdatum2: Data de validade 2
Kontonummer: Número da conta

Isso pode dar pistas da nacionalidade do autor do código... ou não. :)