quinta-feira, 11 de outubro de 2012

Cibercriminoso cuidadoso com o banco de dados

Esse é um caso onde o cibercriminoso fez a lição de casa em relação às permissões de acesso ao banco de dados do phishing.

É mais um que tem como alvo o PayPal, só que ao invés de receber as informações das vítimas por e-mail ele insere em um banco de dados.

Como tive acesso ao código-fonte PHP do phishing foi possível saber onde estava esse banco e qual era o usuário e senha. Conforme vemos abaixo.


Com essas informações pode-se utilizar qualquer client do MySQL para se conectar ao banco de dados. Foi o que fiz utilizando o MySQL Workbench, informando o host, user e password. A conexão com o banco ocorreu sem problemas.


Quando realizei um SELECT para visualizar as informações que já estavam inseridas na tabela log, o comando não executou, permissão negada.

A mensagem de erro fala que o usuário ccs a partir do meu endereço IP não tem permissão de acesso para o comando SELECT na tabela log.

Isso mostra que o cibercriminoso configurou corretamente as permissões do usuário. Sabendo que o código-fonte poderia ser visualizado por outras pessoas ele permitiu que esse usuário só realizasse INSERTs no banco, o que já é suficiente para os propósitos do golpe.

Interessante que muitas vezes nós mesmos não configuramos nossas aplicações e banco de dados de forma tão precisa como ele fez, o usuário com a mínima permissão possível. Devemos ficar atentos para essa questão também.

Ainda um outro detalhe desse phishing, analisando os nomes das variáveis vemos que algumas não estão em inglês e sim em alemão:

Vorname: Nome
Nachname: Sobrenome
Kreditkartennummer: Número do cartão de crédito
Karteninhaber: Titular do cartão
Ablaufdatum1: Data de validade 1
Ablaufdatum2: Data de validade 2
Kontonummer: Número da conta

Isso pode dar pistas da nacionalidade do autor do código... ou não. :)
Postado por Ronaldo Lima às 09:50
Marcadores: , , , ,

9 comentários:

  1. Rodrigo Almeida16 de out. de 2012, 11:38:00

    excelente artigo, é verdade foi muito bem desenvolvido, mas só por curiosidade como vc obteve o source? rsrs
    abçs

    ResponderExcluir
  2. Ronaldo Lima16 de out. de 2012, 13:56:00

    Heheheh
    Rodrigo, diretório desprotegido e um zip com todos os arquivos. :D
    []'s

    ResponderExcluir
  3. Anônimo23 de out. de 2012, 22:47:00

    Ronaldo, parabéns pelos posts, estão me ajudando muito com estudos e pesquisas!

    ResponderExcluir
  4. Anônimo11 de nov. de 2012, 08:22:00

    Ronaldo parebens pelos posts sempre que posso venho dar uma olhada
    ܔܢܜܔܔܢܜܔܔܢܜܔܔܢܜܔܔܢܜܔܔܢܜܔܔܢܜܔܔܢܜܔܔܢܜܔܔܢܜܔܔܢܜܔܔܢܜܔܔܢܜܔܔܢܜܔܔܢܜܔܔܢܜܔܔܢܜ
    mudando de assunto fico grato com vc me tirando uma duvida como se faz o codigo que faz aparecer a telinha amarela do java no navegar para quando baixar ele baixa oque eu quiser por que peguei um codigo em um de seus ultimos post mas nao consegui alterar fiko grato estou em um momento teste e agradeço se me informa como eles conseguem tal feito
    ܔܢܜܔܔܢܜܔܔܢܜܔܔܢܜܔܔܢܜܔܔܢܜܔܔܢܜܔܔܢܜܔܔܢܜܔܔܢܜܔܔܢܜܔܔܢܜܔܔܢܜܔܔܢܜܔܔܢܜܔܔܢܜܔܔܢܜܔ

    ResponderExcluir
  5. Nathan Scapini21 de nov. de 2012, 07:55:00

    Ronaldo, parabéns pelo post
    Mas só uma dúvida: O IP 192.168.100.55 é um IP frio, interno. Como você conseguiu acesso à ele via internet?

    ResponderExcluir
    Respostas
    1. Ronaldo Lima21 de nov. de 2012, 16:24:00

      Nathan,

      A rede 192.168.0.0 realmente é privada e eu não conseguiria acessar, mas se você olhar novamente para o IP da imagem verá que é bem parecido:

      192.162.100.55

      Esse não é privado. :)

      Excluir
    2. Nathan Scapini22 de nov. de 2012, 07:29:00

      Vish, é mesmo.
      Passei o olho rápido e acabei nem percebendo, e olha que eu li mais de uma vez o post.

      Show de bola e vlw pela resposta Ronaldo :P

      Excluir
  6. Unknown20 de jan. de 2015, 01:44:00

    Onde estava esse arquivo PHP ? em uma tela de login do paypal ?

    ResponderExcluir

Assinar: Postar comentários (Atom)
Related Posts Plugin for WordPress, Blogger...