2022年1月,顶象防御云业务安全情报中心监测发现,黑灰产破解多家公司保险考勤系统,还制作出打卡作弊工具,并向保险公司员工兜售“代打卡服务”。通过该服务,保险公司员工能够不出门不到岗,也可以实现“上班打卡”,轻松领取全勤奖。
根据保险行业在职人员数量以及保险行业虚假打卡服务的比例,预计有150-160万在职保险员工购买过“代打卡服务”,黑灰产借此获利超过获得数千万元,给保险公司带来数亿元的经济损失。
虚假考勤打卡:公开揽客,私下接单
考勤,是企业及机构对办公出勤的关键要求,与员工的岗位表现、工作成效、绩效、奖金有直接关系。正常考勤要求员工到公司指定地点,通过人脸识别、指纹识别完成出勤打卡;或者,在公司指定地点,利用办公协同软件完成出勤打卡。
虚假考勤则是利用内控、软件、管理漏洞,通过资料和技术工具,完成虚假入职、虚假考勤打卡,伪造出勤记录,骗取公司薪酬奖励。
网上搜索“破解人脸打卡”,有几百万条结果,不仅有详细的图文介绍,更有手把手教人如何“考勤作弊”的视频。部分电商平台上也有大量“XX异地考勤打卡助手”、“考勤打卡助手”、“考勤打卡更改地址”等产品和服务出售。
黑灰产通过在论坛、社群、电商平台寻找购买者,然后再通过IM工具、电商平台完成交易。
针对考勤系统差异,黑灰产提供不同作弊服务
由于考勤设备与系统的差异,黑灰产的破解作弊的方式也不同,因此销售价格也不同。以顶象业务安全中心发现的某个黑灰产出售的“虚假考勤打卡”为例,基于不同的考勤设备,黑灰产提供了三类“销售套餐”。
第一类:“人脸伪造考勤作弊工具”,60元/人/月。
针对配置人脸识别的考勤系统。购买者启动黑灰产提供的“人脸伪造考勤作弊工具”,然后登录保险公司的官方App。通过作弊工具会上传个人照片、输入工号信息,作弊工具通过注入方式,向系统内提交虚假数据,从而骗过人脸识别,完成考勤打卡。
顶象防御云业务安全情报中心分析发现,黑灰产的“人脸伪造考勤作弊工具”使用Hook技术,对设备信息、定位等进行了篡改(Hook是改机工具依赖的技术之一,可以篡改设备信息,伪造设备定位)和恶意代码注入(修改App正常的运行逻辑、窃取数据等)等攻击方式。
第二类:“蓝牙考勤作弊工具”,150元/人/月。
针对配置有蓝牙检测考勤系统。购买者将个人照片和工号提交给黑灰产,黑灰产再将相关提交给内部合作人员。在现场的内部合作人员,使用黑灰产的作弊工具,绕过蓝牙定位检测,完成考勤打卡。
顶象防御云业务安全情报中心分析发现,黑灰产的“蓝牙伪造考勤作弊工具”,篡改GPS地址,仅适用配置静态蓝牙Mac的考勤设备,如果开启随机蓝牙后,则作弊工具无法完成打卡。另外,该打卡行为需要第三方(内部人员)配合,存在一定的人为失误率。
第三类:“远程代打卡”,80元/人/月。
针对不能够熟练使用作弊工具的购买者,黑灰产提供“远程代打卡服务”。购买者只需要提供工号给黑灰产,即可完成每日考勤打卡。
顶象防御云业务安全情报中心分析,黑灰产劫持考勤系统或App的相关函数,在通过接口提交数据时,替换为虚假的数据;或者,直接篡改提交的报文数据;总之,向考勤系统提交信息数据为伪造信息。
还有一种可能,黑灰产破解公司的考勤系统或App,经过二次打包变成一个山寨App。该山寨App屏蔽摄像头影像采集、拦截蓝牙和无线网络,对GPS劫持,伪造了LBS地理位置,并进行了自动化操作改造。黑灰产输入购买人的照片和工号,该山寨APP即自动完成远程考勤打卡操作。
虚假考勤打卡,或造成保险公司数亿元损失
成本控制能力是保险公司盈利与否的一大影响因素。保险公司的人力成本中,薪资占比达85%以上,福利成本占比高于12%。不同保险企业之间人力成本的占比差距较大,其中,产险公司相对寿险公司差距更明显。
调研显示,保险行业人力成本占总成本的比例稳定在30%-31%之间,寿险公司人力成本占比在27%-30%之间,而产险公司则在32%- 36%之间。其中,产险公司的人均人力成本从2012年的20.77万元到19.11万元。寿险公司从2012年的9.76万元左右小幅上升至2014年的11.75万元。
虚假考勤打卡严重损耗保险公司指出,造成极投入浪费。2019年某险企分公司有代理人实名爆料,其所在分公司为了完成增员人数任务,在内部系统中窃取客户身份证等个人资料办理虚假入司,10多年来平均每年有200多人的虚假增员,套取公司奖金、绩效和队伍建设费几百万元等。
银保监会披露的“2021年底保险公司销售从业人员执业登记情况通报”显示,截至2021年12月31日,全国保险公司在保险中介监管信息系统执业登记的销售人员641.9万人。其中,92家人身险公司执业登记销售人员472.8万人、占比73.7%;90家财产险公司执业登记销售人员169.1万人、占比26.3%。
根据顶象防御云业务安全情报中心对保险行业的反欺诈数据分析,打卡作弊严重的地区,保险行业参与考勤作弊的员工数量占比高达25%以上。据此推断,预计有150-160万在职保险员工有过虚假考勤打卡行为,黑灰产借此获利超过获得数千万元,给保险公司带来经济损失预计超过近十亿元。
防范虚假考勤打卡:规范行业、强化内控、保障考勤系统安全
第一,外部加强行业规范。2021年4月,银保监会发布《关于深入开展人身保险市场乱象治理专项工作的通知》,围绕销售行为、人员管理、数据真实性、内部控制等方面,对保险市场存在的典型问题和重点风险进行专项治理。其中,重点治理人员管理弄虚作假、松散失序等行为。根据上市险企公司2021年财报显示,在职员工人数已经连续两年下降,多家保险公司个险人力从16.3%、23.4%、32%,最高下降51.4%不等。险企不仅对虚假增员加强管理,更淘汰掉大批不合格、不达标的代理人。
第二,内部加强流程管控。考勤是为维护企业的正常工作秩序,提高办事效率,严肃企业纪律,使员工自觉遵守工作时间和劳动纪律,让员工融入公司融入团队之中从而创造更大的效益,是一种严谨、明晰的制度体系。通过重视业务流程管理,严肃考勤与处罚规定,以提升员工纪律与业务效率。
第三,保障考勤系统安全。通过技术手段防范和严格的考核审查,及时防范虚假考勤等行为,良好保障公司正常考勤秩序,降低无效的人力成本消耗。
事前事中事后,全流程的技术的防控建议
基于保险行业特征以及风险态势分析,顶象防御云业务安全情报中心建议保险公司采取事前事中事后的全流程防控,有效防虚假打卡欺诈行为,保障考勤秩序健康运行。
事前对环境、安装包、通信进行安全检测
第一、增强终端风险环境检测。黑灰产的作弊工具对考勤App的GPS、蓝牙、照片等数据使用注入,其使用的手法就是“代码hook”(修改或替换当前代码)。因此,需要对App进行运行环境安全检测,是否有代码注入、hook等行为。
第二、增加App安装包的合法性检测。顶象业务安全中心监测发现,发现很多人使用的App并非官方原版,而是黑灰产篡改后的二次打包版本。因此,需要增加App安装包(SDK)合法性检测,主要检测包的签名、大小、进程信息、App版本号等。安全运维人员,也需要在系统后台的策略中配置官方App历史版本、每个App版本的信息检验等。
第三、保障通信传输安全。业务的通信传输中,黑灰产可能会篡改通信报文中的一些数据,通过对前端SDK进行加固,在通讯链路采用国密算法进行加密,防止终端安全检测模块的数据被篡改和冒用。
事中部署业务安全策略进行防控
接入业务后,风控系统会基于安全策略,对终端各类风险数据、打卡业务数据进行风险识别。因此,需要采集尽可能多的字段,以方便后端根据不同属性制定安全策略。
风控规则及策略:
1、设备终端:校验运行环境风险特征和app版本是否正常,识别是否有注入、函数劫持、二次打包等特征,通常人脸绕过大多具备以上特征;
2、打卡行为:设备使用限制,如限制多人使用同一台手机打卡、账户对应的设备经常变化等行为维度检测;
3、外部数据:手机号风险评分,IP黑库等;
4、本地黑白名单:基于风控数据、历史打卡数据,沉淀并维护对应黑白名单数据,包括工号,手机号,设备黑名单等。
5、业务场景策略:比如作弊情况较严重的职场,如果出现少量设备给绝大部分人打卡的情况,制定对应的限制策略。
6、数据模型:线上数据有一定积累以后,通过风控数据以及业务的沉淀数据,对代理人打卡这一场景进行建模,模型的输出可以直接在风控策略中使用。
事后及时处置
根据业务实际需求,顶象防御云提供两种处置建议。
第一、静默监测、数据打标,延迟处置。App识别风险后,由后台统一收集数据,通过全量更新和静默监测,摸清打卡作弊的占比和分布,然后再处置。
第二、线上实时反馈,及时处置。对识别为风险的请求进行实时拦截,直接显示打卡成功或者失败。
基于处置建议,顶象建议保险企业在防范虚假考勤打卡上,可以选择如下两个方案。
第一,配置设备指纹和决策引擎:设备指纹可以针对端上风险进行识别,例如注入、二次打包、函数劫持等,配合决策引擎使用,可以实时发现风险并给予处置。
第二,配置业务安全感知防御平台(移动版):业务安全感知防御平台(移动版):可以识别发现移动端风险,不仅可以覆盖设备指纹产品发现的风险,而且无需决策引擎,可以直接对移动端风险进行处置,但与设备指纹+决策引擎组合的区别在于安全感知无法使用业务字段,只防控移动端层面风险。
顶象防御云集成业务感知防御平台、验证码、设备指纹和端加固等产品,以及业务威胁情报、云策略等服务。其基于多年实战经验和技术产品,拥有丰富的技术工具、数万个安全策略及数百个业务场景解决方案,具有情报、感知、分析、策略、防护、处置的能力,提供模块化配置和弹性扩容,助企业快速、高效、低成本构建自主可控的业务安全体系。
关注顶象微信公众号,立即体验业务安全产品