头图

梁女士是一家保险公司的代理人,平时不需要坐班,原本只需要完成每月保费额度即能够领取到月工资。9月份,公司突然通知,自10月起,公司会核对员工出勤率,并将其率纳入薪酬考核。如果出勤率低于当月工作日的90%,则被视为旷工、请假。

梁女士所在保险公司出勤率考查的方式就是刷脸打卡。公司提供两种打卡方式:第一种是站在公司前台的智能考勤机前完成刷脸打卡;第二种个人的智能手机连接上公司的无线网络,使用公司的保险代理人App完成自助刷脸打卡。

无论哪一种打卡方式,对于距离公司30多公里、需要每天接送孩子上学的梁女士来说陷入两难:要么每天去公司打卡上班,要么全职在家接送孩子上学。

随着10月份越来越近,梁女士一筹莫展时,有个好朋友推荐了一个“考勤打卡神器”。使用这个“考勤打卡神器”,梁女士不需要赶到公司,也不用连接公司的无线网络,在家里、在商场、甚至在海边游玩也可以完成刷脸打卡,稳妥妥每月拿到全勤奖。

神秘的“考勤神器”是什么?

梁女士使用的“打卡神器”到底是什么呢?网上搜索“破解人脸打卡”,有几百万条结果,不仅有详细的图文介绍,更有手把手教人如何“考勤作弊”的视频。

除此外,电商平台上也有大量“XX异地考勤打卡助手”、“考勤打卡助手”、“考勤打卡更改地址”等产品和服务出售。买家只需要花费几十元,甚至十几元就可以购买到。

顶象业务安全反欺诈专家在某电商平台上找到一个“XX考勤打卡助手”商品,显示付款人数1000+,销价格为30元。拍下后,该商家发来了一个软件下载链接和一条使用视频,并表示,这个“考勤打卡助手”,可轻松改变打卡的位置,能在任何地方进行考勤打卡。

通过对商家发来的“XX考勤打卡助手”分析发现,这其实是一个黑灰产作弊工具。该工具破解了某保险公司的代理人官方App,然后对App进行篡改后进行二次打包,变成一个“山寨App”。

该“山寨App”能够屏蔽摄像头影像采集、拦截无线网络检测,并对GPS劫持,伪造虚假的LBS地理位置。在进行相关设置后,保险公司员工输入自己的工号,上传自己的照片即完成“考勤打卡”。

此外,如果买家不会使用被该工具,商家还提供“XXXX打卡考勤服务”,买家只需提交自己的工号和对应的照片,商家远程就可以代买家完成“刷脸打卡”,价格只要几元钱。

顶象业务安全反欺诈专家分析,商家提供的提供“XXXX打卡考勤服务”,应该也是一个被破解篡改的“山寨App”,只是功能可能更大。例如,支持多人信息并行打卡,输入多条信息后能够自动排序打卡等。

虚假考勤给黑灰产带来数亿元收入

银保监会数字显示,截止到2020年10月,全国共有保险专业代理法人机构1776家,个人保险代理人900万人。

由于“打卡神器”能够很轻松接触且购买到,相信有大量梁女士类似需求的从业者在使用该类工具进行虚假考勤打卡。按照10%概率计算,估算下来就有90万人。基于电商平台上“XX保险考勤打卡助手”的28元的价格计算,单纯销售保险行业的虚假考勤打卡服务,就能够给黑灰产带来数亿元非法收益。

“考勤打卡神器”让黑灰产牟利,却让保险公司受伤。

虚假考勤不仅给保险公司带来人工、薪酬、管理、业务等损失,还为虚假入职提供便利。更有从业者利用“考勤打卡神器”等类似工具,办理虚假入职后,套取保险公司的薪酬和奖励,由此给保险公司带来无法估算的经济损失。

“考勤打卡神器”背后的黑灰产业链

“考勤打卡神器”破坏公司正常考勤秩序,给公司带来经济损失,背后有多个原因。

某保险经纪人表示,保险公司的运营体制就是增员、打业务,两者缺一不可。保险公司每年3-4次大规模增来的新人,带来的新契约保费占比能达到全年的50%甚至更多。为了达成公司业绩和考核,很多营销人员采取虚假增员,骗取上级公司的人头费。他认为,“考勤打卡神器”的出现是保险行业发展阵痛的缩影。

专注劳动纠纷的律师卢杨表示,企业的管理制度为了生产管理效能,但是也需要考虑劳动者的现实情况,很多违规问题出现,一是制度的漏洞,二是管理流程不完善,需要良好结合现实情况。

一位不愿意透露姓名的安全专家表示,“考勤打卡神器”是黑灰产的破解作弊工具,只是被拿出来用于公开牟利使用。他说,虚假考勤打卡的方式很多,不仅是利用作弊工具,还可以直接篡改考勤打卡设备、修改考勤系统数据等。“这个市场比较成熟了,从代码篡改到招揽客户,已经形成一条完整的产业链。”

顶象公司组编、机械工业出版社出版的《攻守道-企业数字业务安全风险与防范》一书中,对黑灰产有明确的定义:网络黑灰产是指利用计算机、网络等手段,基于各类漏洞,通过恶意程序、木马病毒、网络、电信等形式,以非法盈利为目的规模化、组织化、分工明确的群体组织。

互联网黑灰产业链分为上游、中游、下游。其中上游是工具组,提供各类破解工具、打码平台、伪造工具、代理工具;中游是信息组,提供社工库、垃圾注册、盗号、洗号、信息盗取、数据爬虫等;下游是变现组,对数字类业务实施刷单、刷粉、薅羊毛等风险欺诈攻击。

“考勤打卡神器”的制作过程

顶象业务安全反欺诈专家分析发现,梁女士使用的“考勤打卡神器”是破解了某保险公司的官方App,然后对App进行篡改后进行二次打包,变成一个山寨App。该山寨App通过屏蔽摄像头影像采集、拦截无线网络检测,并对GPS劫持,伪造虚假的LBS地理位置。在进行相关设置后,梁女士输入自己的工号、上传照片即完成“考勤打卡”。

山寨App是非常典型的业务风险欺诈手段。黑灰产通过对App进行反编译,篡改相关参数并植入恶意代码,然后重装打包并发布App,进而窃取用户隐私、恶意推广、骗取钱财等。

黑灰产一般会选择知名度高或者使用多App来进行破解篡改,其制作流程主要有以下几个步骤。

1、以假乱真,混淆视线。黑灰产通过网络爬虫盗取正版App的数据,或者直接通过电商平台购买App模板,直接仿照正版App的图标、首页、名称等设计制作,以达到混淆的目的。

2、绕过审核,市场上架。通过各种方式,将山寨App入驻第三方App市场。由于大多数App市场只是对App进行安全和兼容性测试,以及应用合规审核(检查应用中是否是黄赌毒等违禁内容和服务),对于App是否存在模仿疏于甄别,这就给了违规App堂而皇之登陆正规应用市场的机会。

3、刷榜推广,诱导下载。黑灰产通过刷榜、刷评论、积分墙等方式在应用市场内推广,抢占下载排行榜,提升曝光度和关注度。同时,还会通过短信、社群、社区、网盘等方式诱导用户下载。

4、国家互联网金融风险分析技术平台发布的监测数据显示,截至2020年2月底,发现山寨App 2801个,下载量3343.7万次。这些山寨App不仅给用户带来隐私和资产损失,更让正规App遭受不白之冤,给品牌带来伤害,更给企业业务的开展带来巨大负面影响。

“山寨App”给用户带来哪些风险?

山寨App不仅给企业带来资金损失,更会窃取使用者隐私,造成使用者和企业资金损失。

1、窃取用户隐私。山寨App会自从保存收集用户的账号密码等会被窃取他用,更可能自动读取并复制手机通讯录、相册、位置、聊天信息等隐私信息。

2、盗取账户资金。山寨App会收集到账号信息,及时登录正规App平台,将账号内资金、积分、余额会被黑灰产转走盗用,直接给用户带来财产损失。

3、用于恶意推广。山寨App会通过弹窗、诱导下载等各种方式,推荐用户下载其他App或山寨App,或者为违法App导流,甚至部分山寨App内置木马病毒,自动发布短信、链接等。

4、欺诈收费。山寨App 会向用户收取各种手续费、会员费、服务费、保证金、工本费等等,给用户带来资金损失。

防范虚假考勤,企业需要在三方面着手

网上的“考勤打卡神器”虽然能够解决部分从业者打卡的“烦恼”,但这是一种虚假考勤行为,是一种职场失信,对个人职场发展非常不利,一旦被公司发现,不仅会被记录在个人职业信息里,影响工资、奖金、评优、升职等。

顶象业安全反欺诈专家认为,企业需要在管理、处罚以技术上着手,多方面防范虚假考勤打卡:

1、建立科学的考勤制度。考勤是为维护企业的正常工作秩序,提高办事效率,严肃企业纪律,使员工自觉遵守工作时间和劳动纪律,让员工融入公司融入团队之中从而创造更大的效益,是一种严谨、明晰的制度体系。因此考勤应该与上班、排班、工时、休假、加班、津贴、补助、薪酬、奖金、升职、加薪等体系挂钩,用于衡量员工的薪资和劳动。

2、严格处罚虚假考勤。虚假考勤严重的违纪行为,这是对劳动关系的严重作弊,公司更可以依据《劳动合同法》,对违反了用人单位的制度的个人解除劳动合同,且不需要给予经济补偿。例如,国内某知名公司的《员工行为规范》中明确注明,替人代打卡或要求他人代打卡,虚报考勤属于一级违规。公司将毫无保留地与涉事员工解除合同,并要求其在最长不超过2个工作日内办完离职手续。

3、保障考勤设备的安全性。工欲善其事必先利其器,企业既然已经采购智能好用的考勤系统,更需要增强安全防护性。例如,顶象移动态势感知防御系统能够有效防范虚假考勤、人脸识别作弊、打卡作弊等风险,良好保障公司正常考勤秩序。

企业如何防范“考勤打卡神器

企业需要在管理、处罚以技术上着手,多方面防范虚假考勤打卡。

1、建立科学的考勤制度。考勤是为维护企业的正常工作秩序,提高办事效率,严肃企业纪律,使员工自觉遵守工作时间和劳动纪律,让员工融入公司融入团队之中从而创造更大的效益,是一种严谨、明晰的制度体系。考勤应该与上班、排班、工时、休假、加班、津贴、补助、薪酬、奖金、升职、加薪等体系挂钩,用于衡量员工的薪资和劳动。

2、严格处罚虚假考勤。虚假考勤严重的违纪行为,这是对劳动关系的严重作弊,公司更可以依据《劳动合同法》,对违反了用人单位的制度的个人解除劳动合同,且不需要给予经济补偿。例如,国内某知名公司的《员工行为规范》中明确注明,替人代打卡或要求他人代打卡,虚报考勤属于一级违规。公司将毫无保留地与涉事员工解除合同,并要求其在最长不超过2个工作日内办完离职手续。

3、保障考勤设备的安全。工欲善其事必先利其器,企业既然已经采购智能好用的考勤系统,更需要增强安全防护性。例如,顶象移动态势感知防御系统能够有效防范虚假考勤、人脸识别作弊、打卡作弊等风险,良好保障公司正常考勤秩序。


顶象技术
66 声望12 粉丝

互联网业务安全的引领者,打造零风险的数字世界