2022年1月,頂象防禦雲業務安全情報中心監測發現,黑灰產破解多家公司保險考勤系統,還製作出打卡作弊工具,並向保險公司員工兜售“代打卡服務”。透過該服務,保險公司員工能夠不出門不到崗,也可以實現“上班打卡”,輕鬆領取全勤獎。
根據保險行業在職人員數量以及保險行業虛假打卡服務的比例,預計有150-160萬在職保險員工購買過“代打卡服務”,黑灰產藉此獲利超過獲得數千萬元,給保險公司帶來數億元的經濟損失。
虛假考勤打卡:公開攬客,私下接單
考勤,是企業及機構對辦公出勤的關鍵要求,與員工的崗位表現、工作成效、績效、獎金有直接關係。正常考勤要求員工到公司指定地點,透過人臉識別、指紋識別完成出勤打卡;或者,在公司指定地點,利用辦公協同軟體完成出勤打卡。
虛假考勤則是利用內控、軟體、管理漏洞,透過資料和技術工具,完成虛假入職、虛假考勤打卡,偽造出勤記錄,騙取公司薪酬獎勵。
網上搜尋“破解人臉打卡”,有幾百萬條結果,不僅有詳細的圖文介紹,更有手把手教人如何“考勤作弊”的影片。部分電商平臺上也有大量“XX異地考勤打卡助手”、“考勤打卡助手”、“考勤打卡更改地址”等產品和服務出售。
黑灰產透過在論壇、社群、電商平臺尋找購買者,然後再透過IM工具、電商平臺完成交易。
針對考勤系統差異,黑灰產提供不同作弊服務
由於考勤裝置與系統的差異,黑灰產的破解作弊的方式也不同,因此銷售價格也不同。以頂象業務安全中心發現的某個黑灰產出售的“虛假考勤打卡”為例,基於不同的考勤裝置,黑灰產提供了三類“銷售套餐”。
第一類:“人臉偽造考勤作弊工具”,60元/人/月。
針對配置人臉識別的考勤系統。購買者啟動黑灰產提供的“人臉偽造考勤作弊工具”,然後登入保險公司的官方App。透過作弊工具會上傳個人照片、輸入工號資訊,作弊工具透過注入方式,向系統內提交虛假資料,從而騙過人臉識別,完成考勤打卡。
頂象防禦雲業務安全情報中心分析發現,黑灰產的“人臉偽造考勤作弊工具”使用Hook技術,對裝置資訊、定位等進行了篡改(Hook是改機工具依賴的技術之一,可以篡改裝置資訊,偽造裝置定位)和惡意程式碼注入(修改App正常的執行邏輯、竊取資料等)等攻擊方式。
第二類:“藍芽考勤作弊工具”,150元/人/月。
針對配置有藍芽檢測考勤系統。購買者將個人照片和工號提交給黑灰產,黑灰產再將相關提交給內部合作人員。在現場的內部合作人員,使用黑灰產的作弊工具,繞過藍芽定位檢測,完成考勤打卡。
頂象防禦雲業務安全情報中心分析發現,黑灰產的“藍芽偽造考勤作弊工具”,篡改GPS地址,僅適用配置靜態藍芽Mac的考勤裝置,如果開啟隨機藍芽後,則作弊工具無法完成打卡。另外,該打卡行為需要第三方(內部人員)配合,存在一定的人為失誤率。
第三類:“遠端代打卡”,80元/人/月。
針對不能夠熟練使用作弊工具的購買者,黑灰產提供“遠端代打卡服務”。購買者只需要提供工號給黑灰產,即可完成每日考勤打卡。
頂象防禦雲業務安全情報中心分析,黑灰產劫持考勤系統或App的相關函式,在透過介面提交資料時,替換為虛假的資料;或者,直接篡改提交的報文資料;總之,向考勤系統提交資訊資料為偽造資訊。
還有一種可能,黑灰產破解公司的考勤系統或App,經過二次打包變成一個山寨App。該山寨App遮蔽攝像頭影像採集、攔截藍芽和無線網路,對GPS劫持,偽造了LBS地理位置,並進行了自動化操作改造。黑灰產輸入購買人的照片和工號,該山寨APP即自動完成遠端考勤打卡操作。
虛假考勤打卡,或造成保險公司數億元損失
成本控制能力是保險公司盈利與否的一大影響因素。保險公司的人力成本中,薪資佔比達85%以上,福利成本佔比高於12%。不同保險企業之間人力成本的佔比差距較大,其中,產險公司相對壽險公司差距更明顯。
調研顯示,保險行業人力成本佔總成本的比例穩定在30%-31%之間,壽險公司人力成本佔比在27%-30%之間,而產險公司則在32%- 36%之間。其中,產險公司的人均人力成本從2012年的20.77萬元到19.11萬元。壽險公司從2012年的9.76萬元左右小幅上升至2014年的11.75萬元。
虛假考勤打卡嚴重損耗保險公司指出,造成極投入浪費。2019年某險企分公司有代理人實名爆料,其所在分公司為了完成增員人數任務,在內部系統中竊取客戶身份證等個人資料辦理虛假入司,10多年來平均每年有200多人的虛假增員,套取公司獎金、績效和隊伍建設費幾百萬元等。
銀保監會披露的“2021年底保險公司銷售從業人員執業登記情況通報”顯示,截至2021年12月31日,全國保險公司在保險中介監管資訊系統執業登記的銷售人員641.9萬人。其中,92家人身險公司執業登記銷售人員472.8萬人、佔比73.7%;90家財產險公司執業登記銷售人員169.1萬人、佔比26.3%。
根據頂象防禦雲業務安全情報中心對保險行業的反欺詐資料分析,打卡作弊嚴重的地區,保險行業參與考勤作弊的員工數量佔比高達25%以上。據此推斷,預計有150-160萬在職保險員工有過虛假考勤打卡行為,黑灰產藉此獲利超過獲得數千萬元,給保險公司帶來經濟損失預計超過近十億元。
防範虛假考勤打卡:規範行業、強化內控、保障考勤系統安全
第一,外部加強行業規範。2021年4月,銀保監會發布《關於深入開展人身保險市場亂象治理專項工作的通知》,圍繞銷售行為、人員管理、資料真實性、內部控制等方面,對保險市場存在的典型問題和重點風險進行專項治理。其中,重點治理人員管理弄虛作假、鬆散失序等行為。根據上市險企公司2021年財報顯示,在職員工人數已經連續兩年下降,多家保險公司個險人力從16.3%、23.4%、32%,最高下降51.4%不等。險企不僅對虛假增員加強管理,更淘汰掉大批不合格、不達標的代理人。
第二,內部加強流程管控。考勤是為維護企業的正常工作秩序,提高辦事效率,嚴肅企業紀律,使員工自覺遵守工作時間和勞動紀律,讓員工融入公司融入團隊之中從而創造更大的效益,是一種嚴謹、明晰的制度體系。透過重視業務流程管理,嚴肅考勤與處罰規定,以提升員工紀律與業務效率。
第三,保障考勤系統安全。透過技術手段防範和嚴格的考核審查,及時防範虛假考勤等行為,良好保障公司正常考勤秩序,降低無效的人力成本消耗。
事前事中事後,全流程的技術的防控建議
基於保險行業特徵以及風險態勢分析,頂象防禦雲業務安全情報中心建議保險公司採取事前事中事後的全流程防控,有效防虛假打卡欺詐行為,保障考勤秩序健康執行。
事前對環境、安裝包、通訊進行安全檢測
第一、增強終端風險環境檢測。黑灰產的作弊工具對考勤App的GPS、藍芽、照片等資料使用注入,其使用的手法就是“程式碼hook”(修改或替換當前程式碼)。因此,需要對App進行執行環境安全檢測,是否有程式碼注入、hook等行為。
第二、增加App安裝包的合法性檢測。頂象業務安全中心監測發現,發現很多人使用的App並非官方原版,而是黑灰產篡改後的二次打包版本。因此,需要增加App安裝包(SDK)合法性檢測,主要檢測包的簽名、大小、程式資訊、App版本號等。安全運維人員,也需要在系統後臺的策略中配置官方App歷史版本、每個App版本的資訊檢驗等。
第三、保障通訊傳輸安全。業務的通訊傳輸中,黑灰產可能會篡改通訊報文中的一些資料,透過對前端SDK進行加固,在通訊鏈路採用國密演算法進行加密,防止終端安全檢測模組的資料被篡改和冒用。
事中部署業務安全策略進行防控
接入業務後,風控系統會基於安全策略,對終端各類風險資料、打卡業務資料進行風險識別。因此,需要採集儘可能多的欄位,以方便後端根據不同屬性制定安全策略。
風控規則及策略:
1、裝置終端:校驗執行環境風險特徵和app版本是否正常,識別是否有注入、函式劫持、二次打包等特徵,通常人臉繞過大多具備以上特徵;
2、打卡行為:裝置使用限制,如限制多人使用同一臺手機打卡、賬戶對應的裝置經常變化等行為維度檢測;
3、外部資料:手機號風險評分,IP黑庫等;
4、本地黑白名單:基於風控資料、歷史打卡資料,沉澱並維護對應黑白名單資料,包括工號,手機號,裝置黑名單等。
5、業務場景策略:比如作弊情況較嚴重的職場,如果出現少量裝置給絕大部分人打卡的情況,制定對應的限制策略。
6、資料模型:線上資料有一定積累以後,透過風控資料以及業務的沉澱資料,對代理人打卡這一場景進行建模,模型的輸出可以直接在風控策略中使用。
事後及時處置
根據業務實際需求,頂象防禦雲提供兩種處置建議。
第一、靜默監測、資料打標,延遲處置。App識別風險後,由後臺統一收集資料,透過全量更新和靜默監測,摸清打卡作弊的佔比和分佈,然後再處置。
第二、線上實時反饋,及時處置。對識別為風險的請求進行實時攔截,直接顯示打卡成功或者失敗。
基於處置建議,頂象建議保險企業在防範虛假考勤打卡上,可以選擇如下兩個方案。
第一,配置裝置指紋和決策引擎:裝置指紋可以針對端上風險進行識別,例如注入、二次打包、函式劫持等,配合決策引擎使用,可以實時發現風險並給予處置。
第二,配置業務安全感知防禦平臺(移動版):業務安全感知防禦平臺(移動版):可以識別發現移動端風險,不僅可以覆蓋裝置指紋產品發現的風險,而且無需決策引擎,可以直接對移動端風險進行處置,但與裝置指紋+決策引擎組合的區別在於安全感知無法使用業務欄位,只防控移動端層面風險。
頂象防禦雲整合業務感知防禦平臺、驗證碼、裝置指紋和端加固等產品,以及業務威脅情報、雲策略等服務。其基於多年實戰經驗和技術產品,擁有豐富的技術工具、數萬個安全策略及數百個業務場景解決方案,具有情報、感知、分析、策略、防護、處置的能力,提供模組化配置和彈性擴容,助企業快速、高效、低成本構建自主可控的業務安全體系。
----------------------------------------
關注頂象微信公眾號,立即體驗業務安全產品