DTMF Hırsızlığı

15 Kasım 2016 tarihinde Hürriyet’te yayınlanan “Dolandırıcılıkta yeni yöntem: Dolandırılıyorsunuz; şifrenizi ekrana tuşlayın” başlıklı yazı dikkatimi çekti. Haberin detaylarını okuduğumda dolandıcıların yeni keşfettikleri akılalmaz bir yöntem ile dolandırıcılık yaptıklarına dem vuruluyordu. Şayet haberi derleyen kişi, haberi yayımlamadan önce en azından bir bilişim uzmanına danışmış olsaydı eminim bunun akıl almaz bir yöntem olmadığını öğrenmesi 5 dakikasını almaz ve dolandırıcıların kullandıkları yöntemi de açığa kavuşturarak çok sayıda vatandaşımızı, ilgilileri bu konuda aydınlatabilirdi. Durum böyle olmayınca ve yakın çevremden de bu konuya ilişkin sorular geldiği için iş başa düştü ve bu haberde yer alan yöntemi açığa çıkarmaya karar verdim.

Detaylara geçmeden önce ilk olarak Çift Tonlu Çoklu Frekans‘tan (Dual Tone Multi-Frequency / DTMF) kısaca bahsetmek gerekiyor. DTMF, Bell Systems firması tarafından 1963 yılında geliştirilmiş ve telefon şebekesinde taraflar arası bilginin iletilmesini sağlayan bir kodlama türüdür. DTMF tuş takımları aşağıdaki gibi 16 tuştan oluşur. Tuşlu telefonlarda, tuş takımlı akıllı telefonlarda her bir tuşa basıldığında, aşağıdaki tabloya göre bir ton çifti oluşturulur ve telefonun diğer ucundaki tarafa sinyale dönüştürülerek iletilir. Örneğin bir bankayı aradığınızda sizi karşılayan robot, sizi tanıyabilmek için sizden müşteri numaranızı ve TCKN numaranızı girmenizi ister. Siz bu bilgileri tuşlamaya başladığınız zaman oluşan ve rahatlıkla duyabildiğiniz her ton çifti, robot tarafından Goertzel algoritmasına göre çözümlenerek sayısal değere çevrilir ve işlemlerinizi gerçekleştirilir.

DTM Fraud

Yukarıdaki özet bilgi ışığında habere konu olan dolandırıcılık yönteminin pratikte nasıl gerçekleşebileceğine kısaca bir bakalım. İkna dolandırıcılığında, dolandırıcıların temel amacı karşı tarafın güvenini kazanararak kötü emellerini gerçekleştirmektir. Haberde de belirtildiği üzere bankadan aradıklarını söyleyen dolandırıcılar, vatandaşa parasının çekilmeye çalışıldığını ve bu şüpheli işlemi durdurmak için kart PIN kodunu ekrana tuşlayarak durdurabileceğini söylemektedirler. Vatandaşın güveninini kazanarak yapılan bu dolandırıcılıkta, dolandırıcıların yaptığı işlem tahmin edeceğiniz üzere vatandaşın ekrana girerken bastığı tuşların oluşturduğu DTMF sinyalini çalmaktır.

DTMF sinyalini çalmak ve sayısal değere dönüştürmek dolandırıcılar için ne kadar zor olabilir diye düşünmeye başladığımda, ilk olarak e-ticaret sitelerine girip “DTMF” anahtar kelimesi ile arama yapmaya karar verdim. Çok geçmeden DTMF sinyalini çözebilen Arduino modüllerinin 23 TL gibi uygun bir fiyata satıldığını gördüm. İlan üzerindeki bilgilere kısaca göz attığımda da, aşağıdaki video ile pratikte bu işin çok da zor olmayacağını öğrendim.

DTM Fraud






İşin içine modüller ve kablolar girdiğinde dolandırıcıların çok da bu yolu tercih etmeyeceklerini düşünerek başka yollar üzerine düşünmeye başladım ve Automatic Call Recorder gibi çağrı kaydı yapan akıllı telefon uygulamaları aklıma geldi. Uygulamayı yükleyip, çalıştırdıktan sonra eşime kendimi aratıp ekrana 1234 PIN kodunun tuşlandığı ufak bir parodi hazırladım.




DTM Fraud

Son olarak GitHub üzerinde kayıt altına aldığım ses dosyasındaki DTMF sinyalini sayısal değere dönüştürmek için program aramaya koyuldum ve 4 yıl önce DTMF sinyalini çözmek amacıyla geliştirilmiş olan bu araç ile karşılaştım. Ses dosyası (dtmf.wav) üzerinde bu aracı çalıştırdıktan kısa bir süre sonra eşimin telefonundan ekrana tuşladığım PIN kodunu (1234) programın çıktısında görebildim.

DTM Fraud

Sonuç itibariyle ikna dolandırıcılarının güveninizi kazanarak bilgilerinizi çalmak için çağrı merkezlerinde kullanılan robotları taklit ettiklerini ve arka planda ekrana tuşladığınız bilgileri DTMF sinyalleri üzerinden kolaylıkla çalabildiklerini görüyoruz. Güvenliğiniz için güvenilirliğinden emin olmadığınız hiç bir sisteme kart no, pin, müşteri no vb. bilgilerinizi telefon üzerinden tuşlamayınız.

Bir sonraki yazıda görüşmek dileğiyle herkese güvenli günler dilerim.

image_pdfShow this post in PDF formatimage_printPrint this page
18 comments
  1. bir soru soracağım telefon görüşmesi ile veri akışı yapabilir miyiz? 3g ya da 2g de yaptığımız telefon aramaları sırasında wifiden gelen sinyalleri karşı kişinin telefonuna bir şekilde ulaştırıp bu sinyalleri okuyan internet dağıtma projesi yapılabilir mi? Sesimiz yerine internet wifi bağlantıları göndermek mümkün mü?

    1. Bunun için özel olarak tasarlanmış bir cihaz ile GSM ağını taşıyıcı olarak kullanmak belki teoride mümkün olabilir ancak mevcut telefonlarla bu mümkün mü kısmından emin değilim.

  2. Değerli paylaşımınız için teşekkür ederim. Çok iyi izah etmişsiniz. Tüm yazılarınızı keyifle okuyorum.

  3. devreleri yaktın hocam yine :) eline saglık, artık evdeki lambayı yakarken bile düşünücem :)

  4. Eline sağlık hocam. Teknik tarafı bir yana anlatmak istediğin ve vermek istediğin mesaj çok güzel.

    Senin de dediğin gibi güvenimizi kazanan bir ortam oluştuğunda işlerimiz gerçekten zor. Bize gelen telefon aramalarında telefon numarası değiştirilebildiği için aramaya güvenmemek lazım. Bir işlem yapacaksak bizim aramamız en doğrusu olacaktır. Çözüm olarak PIN kodu ve kredi kartlarını belirli aralıklarla değiştirmek lazım. Sanal kart kullanımı daha kontrollü olacaktır. Bankaların ilave olarak kredi kartının arkasındaki 3 haneli sayıyı değiştirmeye izin vermesi gerekiyor. 4 haneli parola olmadan alış veriş yapabiliyoruz ama güvenlik kodu oladan yapamıyoruz.

  5. Harika bir blog yazısı olmuş ek olarak şunu belirtmek istiyorum.Bu yöntem 2012 yılında çözüldü ve yapılmaya başlandı bazı kişiler tarafından.

Leave a Reply

Your email address will not be published. Required fields are marked *

You May Also Like
Read More

e-Devlet Hacklendi mi?

If you are looking for an English version of this article, please visit here. Öncelikle yazının sonunda söyleyeceğimi başta söyleyeyim, “Hayır, hack-len-me-di!” Peki bu durumda vatandaş olarak rahat bir nefes alabilir misiniz ? Maalesef hayır. Bunun sebebini de yazının devamında okuyabilirsiniz. Zaman zaman hortlayan “e-Devlet Hacklendi!”, “e-Devlet verileri çalındı!”, “85…
Read More
Read More

LinkedIn Dolandırıcıları

If you are looking for an English version of this article, please visit here. Uzun yıllardan beri sosyal ağları ve medyayı etkin kullanan bir siber güvenlik araştırmacısı olarak bağlantılarım arasında yer alanlarınız özellikle hafta içi LinkedIn ve Twitter üzerinden okuduğum ve beğendiğim siber güvenlik makalelerini, haberleri paylaştıklarımı farkediyorlardır. Twitter hesabımın…
Read More
Read More

WhatsApp Dolandırıcıları

If you are looking for an English version of this article, please visit here. Başlangıç Son günlerde hemen hemen WhatsApp uygulaması kullanan herkesi rahatsız eden yabancı cep telefonu numaralarından gelen çağrılardan, mesajlardan ben de yakın zamanda nasibimi aldım ve tabii ki diğer dolandırıcılıklarla ilgili yazılarımda (Kripto Para Dolandırıcıları, LinkedIn Dolandırıcıları,…
Read More
Read More

Profilime Kim Baktı?

If you are looking for an English version of this article, please visit here. 23 Eylül 2020 tarihinde Twitter’da siber güvenlik ile ilgili haberlere göz gezdirirken gündem olan başlıklarda #profilimekimbaktı etiketi dikkatimi çekti. Beni oldukça şüphelendiren bu etiketin gündem olmasının arkasında yatan sebebi bulmak için bu etiketi paylaşan hesaplara göz…
Read More