近日,“考勤打卡神器”的新闻刷屏网络。就职于某保险公司的梁女士,每天无需到公司上班,在家里就能完成每日打卡并拿到全勤奖。
网上搜索“破解人脸打卡”,有几百万条结果,不仅有详细的图文介绍,更有手把手教人如何“考勤作弊”的视频。电商平台上也有大量相关商品,买家只需要花费几十元,甚至十几元就可以购买到。
“考勤打卡神器”背后的黑灰产业链
“考勤打卡神器”破坏公司正常考勤秩序,给公司带来经济损失,背后有多个原因。
某保险经纪人表示,保险公司的运营体制就是增员、打业务,两者缺一不可。保险公司每年3-4次大规模增来的新人,带来的新契约保费占比能达到全年的50%甚至更多。为了达成公司业绩和考核,很多营销人员采取虚假增员,骗取上级公司的人头费。他认为,“考勤打卡神器”的出现是保险行业发展阵痛的缩影。
专注劳动纠纷的律师卢杨表示,企业的管理制度为了生产管理效能,但是也需要考虑劳动者的现实情况,很多违规问题出现,一是制度的漏洞,二是管理流程不完善,需要良好结合现实情况。
一位不愿意透露姓名的安全专家表示,“考勤打卡神器”是黑灰产的破解作弊工具,只是被拿出来用于公开牟利使用。他说,虚假考勤打卡的方式很多,不仅是利用作弊工具,还可以直接篡改考勤打卡设备、修改考勤系统数据等。“这个市场比较成熟了,从代码篡改到招揽客户,已经形成一条完整的产业链。”
顶象公司组编、机械工业出版社出版的《攻守道-企业数字业务安全风险与防范》一书中,对黑灰产有明确的定义:网络黑灰产是指利用计算机、网络等手段,基于各类漏洞,通过恶意程序、木马病毒、网络、电信等形式,以非法盈利为目的规模化、组织化、分工明确的群体组织。
互联网黑灰产业链分为上游、中游、下游。其中上游是工具组,提供各类破解工具、打码平台、伪造工具、代理工具;中游是信息组,提供社工库、垃圾注册、盗号、洗号、信息盗取、数据爬虫等;下游是变现组,对数字类业务实施刷单、刷粉、薅羊毛等风险欺诈攻击。
“考勤打卡神器”的制作过程
顶象业务安全反欺诈专家分析发现,梁女士使用的“考勤打卡神器”是破解了某保险公司的官方App,然后对App进行篡改后进行二次打包,变成一个山寨App。该山寨App通过屏蔽摄像头影像采集、拦截无线网络检测,并对GPS劫持,伪造虚假的LBS地理位置。在进行相关设置后,梁女士输入自己的工号、上传照片即完成“考勤打卡”。
山寨App是非常典型的业务风险欺诈手段。黑灰产通过对App进行反编译,篡改相关参数并植入恶意代码,然后重装打包并发布App,进而窃取用户隐私、恶意推广、骗取钱财等。
黑灰产一般会选择知名度高或者使用多App来进行破解篡改,其制作流程主要有以下几个步骤。
以假乱真,混淆视线。黑灰产通过网络爬虫盗取正版App的数据,或者直接通过电商平台购买App模板,直接仿照正版App的图标、首页、名称等设计制作,以达到混淆的目的。
2、绕过审核,市场上架。通过各种方式,将山寨App入驻第三方App市场。由于大多数App市场只是对App进行安全和兼容性测试,以及应用合规审核(检查应用中是否是黄赌毒等违禁内容和服务),对于App是否存在模仿疏于甄别,这就给了违规App堂而皇之登陆正规应用市场的机会。
刷榜推广,诱导下载。黑灰产通过刷榜、刷评论、积分墙等方式在应用市场内推广,抢占下载排行榜,提升曝光度和关注度。同时,还会通过短信、社群、社区、网盘等方式诱导用户下载。
国家互联网金融风险分析技术平台发布的监测数据显示,截至2020年2月底,发现山寨App 2801个,下载量3343.7万次。这些山寨App不仅给用户带来隐私和资产损失,更让正规App遭受不白之冤,给品牌带来伤害,更给企业业务的开展带来巨大负面影响。
“山寨App”给用户带来哪些风险?
山寨App不仅给企业带来资金损失,更会窃取使用者隐私,造成使用者和企业资金损失。
窃取用户隐私。山寨App会自从保存收集用户的账号密码等会被窃取他用,更可能自动读取并复制手机通讯录、相册、位置、聊天信息等隐私信息。
盗取账户资金。山寨App会收集到账号信息,及时登录正规App平台,将账号内资金、积分、余额会被黑灰产转走盗用,直接给用户带来财产损失。
用于恶意推广。山寨App会通过弹窗、诱导下载等各种方式,推荐用户下载其他App或山寨App,或者为违法App导流,甚至部分山寨App内置木马病毒,自动发布短信、链接等。
4、欺诈收费。山寨App 会向用户收取各种手续费、会员费、服务费、保证金、工本费等等,给用户带来资金损失。
企业如何防范“考勤打卡神器”
顶象业务安全反欺诈专家认为,企业需要在管理、处罚以技术上着手,多方面防范虚假考勤打卡。
建立科学的考勤制度。考勤是为维护企业的正常工作秩序,提高办事效率,严肃企业纪律,使员工自觉遵守工作时间和劳动纪律,让员工融入公司融入团队之中从而创造更大的效益,是一种严谨、明晰的制度体系。考勤应该与上班、排班、工时、休假、加班、津贴、补助、薪酬、奖金、升职、加薪等体系挂钩,用于衡量员工的薪资和劳动。
严格处罚虚假考勤。虚假考勤严重的违纪行为,这是对劳动关系的严重作弊,公司更可以依据《劳动合同法》,对违反了用人单位的制度的个人解除劳动合同,且不需要给予经济补偿。例如,国内某知名公司的《员工行为规范》中明确注明,替人代打卡或要求他人代打卡,虚报考勤属于一级违规。公司将毫无保留地与涉事员工解除合同,并要求其在最长不超过2个工作日内办完离职手续。
保障考勤设备的安全。工欲善其事必先利其器,企业既然已经采购智能好用的考勤系统,更需要增强安全防护性。例如,顶象移动态势感知防御系统能够有效防范虚假考勤、人脸识别作弊、打卡作弊等风险,良好保障公司正常考勤秩序。
顶象移动态势感知防御系统基于威胁探针、流计算、机器学习等先进技术,集设备风险分析、运行攻击识别、异常行为检测、预警、防护处置为一体的主动安全防御平台,能够实时发现摄像头遭劫持、设备伪造等恶意行为,有效防控虚假考勤、人脸识别作弊、打卡作弊等风险,良好保障公司正常考勤秩序。
目前,顶象移动态势感知防御系统已在多家保险公司应用。其中,在某保险公司省级分公司部署后,当月发现10000+名代理人虚假考勤打卡,当月拦截阻止超过15万次虚假考勤打卡操作,为保险公司挽回500万+的代理费用。