Desain Arsitektur Aplikasi QR Code sebagai Anti Phishing Serangan QR Code

QR Codes are very vulnerable to falsification because it is difficult to distinguish the original QR Code from a fake QR Code. Because of this vulnerability, the scanning process on fake QR Codes can direct users to dangerous sites with important information or data from the user. To assess QR Code security vulnerabilities and actions using a secure Application-based QR Code Architecture as Anti Phishing against QR Code attacks using hash functions and digital signatures. In experiments simulated attack types to malicious QR codes that redirect users to phishing sites. The real URL is disguised into the QR Code, where the user does not suspect, the URL is redirected to the fake site. As a result, intruders can easily use QR codes as vectors for phishing attacks targeted at smartphone users, even if they are using a browser that has security features

Etäisyyden huomioiva kaksiulotteinen viivakoodi mobiilikäyttötapauksiin

Global internet use is becoming increasingly mobile, and mobile data usage is growing exponentially. This puts increasing stress on the radio frequency spectrum that cellular and Wi-Fi networks use. As a consequence, research has also been conducted to develop wireless technologies for other parts of the electromagnetic spectrum – namely, visible light. One approach of using the visible light channel for wireless communication leverages barcodes. In this thesis, we propose a 2D barcode that can display different information based on the distance between the barcode and the scanner. Earlier research on distance-sensitive barcodes has focused on providing a closer viewer more information as a closer viewer can see more detail. In contrast, we target use cases where a clear physical separation between users of different roles can be made, such as presentation systems. We evaluate two methods of achieving distance-awareness: color-shifting of individual colors, where a color changes tone at longer distances, and color blending, where two colors blend into a third color at longer viewing distances. Our results show that a modern smartphone is capable of leveraging color-shifting in ideal conditions, but external changes such as ambient lighting render color-shifting unusable in practical scenarios. On the other hand, color blending is robust in varying indoor conditions and can be used to construct a reliable distance-aware barcode. Accordingly, we employ color blending to design a distance-aware barcode. We implement our solution in an off-the-shelf Android smartphone. Experimental results show that our scheme achieves a clear separation between close and far viewers. As a representative use case, we also implement a presentation system where a single barcode provides the presenter access to presentation tools and the audience access to auxiliary presentation material.Maailmanlaajuinen internetin käyttö muuttuu yhä liikkuvammaksi, ja mobiilidatan käyttö kasvaa eksponentiaalisesti. Tämä kohdistaa yhä suurempia vaatimuksia radiotaajuusspektriin, jota mobiili- ja Wi-Fi-verkot käyttävät. Näin ollen tutkijat ovat kehittäneet langattomia teknologioita hyödyntäen myös muita sähkömagneettisen spektrin osia – erityisesti näkyvää valoa. Yksi näkyvän valon sovellus langattomassa viestinnässä ovat viivakoodit. Tässä työssä kehitämme kaksiulotteisen viivakoodin, joka pystyy välittämään eri tietoa katselijoille eri etäisyyksillä. Aiempi etäisyyden huomioivien viivakoodien tutkimus on keskittynyt tarjoamaan lähellä olevalle katselijalle enemmän tietoa, koska läheinen katselija näkee viivakoodin tarkemmin. Sitä vastoin me keskitymme käyttötapauksiin, joissa eri käyttäjäroolien välillä on selkeä etäisyydellinen ero, kuten esimerkiksi esitelmissä puhujan ja yleisön välillä. Tarkastelemme kahta menetelmää: yksittäisten värien muutoksia etäisyyden muuttuessa ja kahden värin sekoittumista etäisyyden kasvaessa. Tulostemme perusteella nykyaikainen älypuhelin pystyy hyödyntämään yksittäisten värien muutoksia ihanteellisissa olosuhteissa, mutta ulkoiset tekijät, kuten ympäristön valaistus, aiheuttavat liian suuria värimuutoksia käytännön käyttötapauksissa. Toisaalta värien sekoittuminen on johdonmukaista muuttuvassa sisäympäristössä ja sitä voidaan käyttää luotettavan viivakoodin luomisessa. Näin ollen me suunnittelemme etäisyyden huomioivan viivakoodin hyödyntäen värien sekoittumista. Toteutamme ratkaisumme yleisesti saatavilla olevalle Android-älypuhelimelle. Kokeellisten tulostemme perusteella menetelmämme saavuttaa selkeän erottelun läheisten ja kaukaisten katselijoiden välillä. Esimerkkikäyttötapauksena toteutamme myös esitelmäjärjestelmän, jossa sama viivakoodi antaa lähellä olevalle puhujalle nopean pääsyn esitystyökaluihin ja kauempana olevalle yleisölle pääsyn esityksen apumateriaaliin

Efficient QR code authentication mechanism based on Sudoku

Abstract(#br)QR code is an important means for delivering information which has been widely used in our daily life. As an ISO international standard, the QR code encoding and decoding process are disclosed publicly, thus it is easy to decode a QR code then forge a new QR code with the same QR code public message. It can lead to the problems of information forgery and ease the spreading of fake news. To overcome this weakness, we propose a simple and efficient QR code authentication mechanism to embed the authentication information in the padding region of QR code based on the characteristics of Sudoku and Reed-Solomon code. Different from the previous scheme, the proposed scheme embeds the authentication information without consuming the QR code error correction capacity and is able to..

Hameçonnage bancaire : un cadre d’analyse et de réduction de risque de victimisation

RÉSUMÉ : La fraude bancaire, tout particulièrement celle qui implique l’hameçonnage, reste un enjeu majeur de la relation qu’entretiennent les banques avec leurs clients. Les statistiques croissantes sur les montants dérobés des comptes des victimes et la multiplicité des contremesures, des organismes nationaux et des coalitions multinationales d’entreprises qui luttent contre ce fléau en sont deux indicateurs de l’étendue du phénomène. Ce constat nous a amenés à aborder dans cette thèse, les questions des facteurs de risque de victimisation et des améliorations à apporter aux contremesures afin d’en diminuer les impacts. A été étudiée en premier, la question de savoir quels sont les éléments nécessaires et suffisants à la définition de la victimisation par hameçonnage bancaire. Nous avons répondu à cette question en proposant un ensemble cohérent de quatre éléments sur lesquels doit s’appuyer toute définition de la victimisation par hameçonnage bancaire, notamment, l’action posée, l’objet utilisé, les présumés victimes et la nature des préjudices subis par lesdites victimes. Sur la base de ces éléments, nous avons défini trois formes de victimisation : la tentative d’hameçonnage, l’infection et la fraude. Prenant appui sur ces trois formes de victimisation, nous avons développé un modèle de régression logistique pour analyser les données d’une vaste enquête canadienne (Enquête ESG, 2009) sur la victimisation en ligne afin d’identifier et classer hiérarchiquement les facteurs clés de risque de tentative d’hameçonnage, d’infection et de fraude (cf. Tableau 5.1). Il en ressort que les comportements à risque en ligne, de même que le manque de formation de base en sécurité et de sensibilisation aux menaces sont les catégories ayant le plus d’importance dans l’explication de la victimisation par tentative d’hameçonnage et par infection. Quant aux facteurs qui contribuent à la fraude (retrait de l’argent des comptes des victimes), les données de l’enquête ESG 2009 ne permettant pas d’étudier le processus de monétisation - manque de données sur le marché noir des renseignements volés -, nous avons développé un modèle théorique pour étudier les comportements de deux acteurs de ce marché noir : le fraudeur et la mule. Pour ce faire, nous avons appliqué la théorie du choix rationnel développée en économie. Aussi, les fonctions d’utilité classique de type CRRA (Constant Relative Risk Aversion) et de type CARA (Constant Absolute Risk Aversion) ont été utilisées pour étudier le comportement du fraudeur vis-à-vis du risque. Enfin, pour tester notre modèle théorique, nous avons exploité des données colligées des forums clandestins. Les résultats de simulation de ce modèle révèlent que six facteurs ont une influence, à des degrés divers, sur le processus de monétisation. Il y a le revenu anticipé du fraudeur, l’intensité du niveau des mesures de sécurité mises en place par les banques, la commission versée à la mule, le prix du renseignement, la richesse initiale du fraudeur et la probabilité de se faire arrêter. Afin d’évaluer la pertinence de notre modèle théorique pour répondre à notre question de recherche sur les facteurs clés de risque de victimisation, une enquête basée sur un échantillon par choix raisonné a été menée auprès de dix-sept experts en sécurité informatique. Les résultats de cette enquête confirment que deux des six facteurs déterminés par notre modèle théorique ont une grande importance dans le processus de monétisation. Il s’agit du revenu anticipé du fraudeur et du niveau de mesures mises en place par les banques. Deux autres facteurs que nous n’avons pas mesurés dans notre modèle, faute de données et de métriques, ont été retenus par les experts comme étant des facteurs ayant des effets prépondérants sur la décision de monétiser ou non un renseignement volé : la qualité du renseignement et le temps écoulé entre le vol du renseignement et le retrait de l’argent du compte de la victime. Dans la même enquête, nous avons demandé aux experts de proposer des améliorations à apporter aux contremesures actuelles afin de réduire les risques de victimisation inhérents aux facteurs que nous avons déterminés. L’analyse des réponses des experts a permis d’adresser vingt-cinq recommandations aux pouvoirs publics, à l’utilisateur final, aux entreprises, aux développeurs de solutions de sécurité et aux organismes qui luttent contre l’hameçonnage bancaire. Le modèle micro-économique que nous avons proposé est la principale contribution théorique de cette recherche. Quant à la principale contribution pratique, elle a été de proposer, en se basant sur les avis des experts, des améliorations à apporter aux contremesures actuelles afin de réduire, le cas échéant, le risque d’hameçonnage bancaire. Cette recherche a toutefois quelques limites, notamment l’asymétrie d’information dans un marché noir de renseignements bancaires et le nombre limité des experts de l’enquête. Il serait intéressant à l’avenir de prendre en compte l’asymétrie d’information dans l’analyse du marché noir et de valider le modèle conçu avec plus de données empiriques colligées des forums, des banques et auprès des experts en sécurité informatique.----------ABSTRACT : Banking Fraud, specifically one which involves phishing, remains a major issue in the Relationship that banks maintain with their clients. The rising statistics on the amounts stolen from victims’ accounts as well as the multiplicity of countermeasures, the national organisations and the coalition of multinational businesses that fight against the plague, are two indicators of the extent of this phenomenon. This observation led us to examine in this thesis, the questions of victimisation risk factors and the improvements that can be made to countermeasures in order to diminish the impacts of phishing. We first examined the question of determining the necessary and sufficient elements required to define victimisation by banking phishing. We have answered this question by proposing a coherent ensemble of four elements on which any definition of victimisation by banking phishing must repose. These include the action, the objects used, the presumed victims and the nature of the prejudices suffered by said victims. On account of these elements, we have defined three forms of victimisation: phishing attempts, infection and fraud. On the basis of three forms of victimisation, we have developed a logistic regression model to analyse the data from an extensive Canadian investigation into online victimisation; in order to identify and hierarchically classify the key risk factors of phishing attempt, infection and fraud (Table 5.1). It appears that risky online behaviours, as well as the lack of basic training in security and threat sensitisation are the most important categories in the explanation of victimisation by attempt at phishing and by infection. As it related to factors that contribute to fraud (money withdrawal from victims’ accounts), the data from the ESG 2009 investigation does not allow for a study of the monetisation process – lack of data on the black market of stolen information. We have developed a theoretical model to study the behaviours of two players in the black market: the fraudster and the mule. To carry this out, we applied the rational choice theory developed in economics. Also, the classical utility functions of the CRRA (Constant Relative Risk Aversion) and CARA (Constant Absolute Risk Aversion) varieties are used to study the behaviour of the fraudster vis-à-vis risk. Finally, to test our theoretical model, we took advantage of the data gathered from clandestine sites. The results of the simulation of this model revealed that six factors influence, to different extents, the monetisation process. There is the anticipated revenue by the fraudster, the intensity of the level of security put in place by the banks, the commission paid to the mule, the price of the information, the initial wealth of the fraudster and the probability of getting caught. To evaluate the pertinence of our theoretical model in answering our research question on the key risk factors of victimisation, an investigation based on the rational choice sample has been performed among seventeen experts in information security. The results of this investigation confirmed that two out of six factors determined by our theoretical model have significant influence on the monetisation process. These include the anticipated revenue by the fraudster and the level of measures put in place by banks. Two other factors that we have not measured in our model, due to a lack of data and metrics, have been retained by the experts as factors having dominating effects on the decision to monetise or not stolen information: the quality of the information and the time elapsed since the theft as well as the withdrawal of money from the account by the victim. In the same investigation, we have asked experts to suggest improvements that can be made to the actual countermeasures in order to reduce the inherent victimisation risks that we have determined. The analysis of the experts’ responses has enabled us to provide twenty-five recommendations to authorities, the final user, businesses, security solutions developers and organisations that fight against banking phishing