梁女士是一家保险公司的代理人,平时不须要坐班,本来只须要实现每月保费额度即可能支付到月工资。9 月份,公司忽然告诉,自 10 月起,公司会核查员工出勤率,并将其率纳入薪酬考核。如果出勤率低于当月工作日的 90%,则被视为旷工、销假。
梁女士所在保险公司出勤率考查的形式就是刷脸打卡。公司提供两种打卡形式:第一种是站在公司前台的智能考勤机前实现刷脸打卡;第二种集体的智能手机连贯上公司的无线网络,应用公司的保险代理人 App 实现自助刷脸打卡。
无论哪一种打卡形式,对于间隔公司 30 多公里、须要每天接送孩子上学的梁女士来说陷入两难:要么每天去公司打卡下班,要么全职在家接送孩子上学。
随着 10 月份越来越近,梁女士束手无策时,有个好敌人举荐了一个“考勤打卡神器”。应用这个“考勤打卡神器”,梁女士不须要赶到公司,也不必连贯公司的无线网络,在家里、在商场、甚至在海边玩耍也能够实现刷脸打卡,稳当妥每月拿到全勤奖。
神秘的“考勤神器”是什么?
梁女士应用的“打卡神器”到底是什么呢?网上搜寻“破解人脸打卡”,有几百万条后果,不仅有具体的图文介绍,更有手把手教人如何“考勤舞弊”的视频。
除此外,电商平台上也有大量“XX 异地考勤打卡助手”、“考勤打卡助手”、“考勤打卡更改地址”等产品和服务发售。买家只须要破费几十元,甚至十几元就能够购买到。
顶象业务平安反欺诈专家在某电商平台上找到一个“XX 考勤打卡助手”商品,显示付款人数 1000+,销价格为 30 元。拍下后,该商家发来了一个软件下载链接和一条应用视频,并示意,这个“考勤打卡助手”,可轻松扭转打卡的地位,能在任何中央进行考勤打卡。
通过对商家发来的“XX 考勤打卡助手”剖析发现,这其实是一个黑灰产舞弊工具。该工具破解了某保险公司的代理人官网 App,而后对 App 进行篡改后进行二次打包,变成一个“山寨 App”。
该“山寨 App”可能屏蔽摄像头影像采集、拦挡无线网络检测,并对 GPS 劫持,伪造虚伪的 LBS 地理位置。在进行相干设置后,保险公司员工输出本人的工号,上传本人的照片即实现“考勤打卡”。
此外,如果买家不会应用被该工具,商家还提供“XXXX 打卡考勤服务”,买家只需提交本人的工号和对应的照片,商家近程就能够代买家实现“刷脸打卡”,价格只有几元钱。
顶象业务平安反欺诈专家剖析,商家提供的提供“XXXX 打卡考勤服务”,应该也是一个被破解篡改的“山寨 App”,只是性能可能更大。例如,反对多人信息并行打卡,输出多条信息后可能主动排序打卡等。
虚伪考勤给黑灰产带来数亿元支出
银保监会数字显示,截止到 2020 年 10 月,全国共有保险业余代理法人机构 1776 家,个人保险代理人 900 万人。
因为“打卡神器”可能很轻松接触且购买到,置信有大量梁女士相似需要的从业者在应用该类工具进行虚伪考勤打卡。依照 10% 概率计算,估算下来就有 90 万人。基于电商平台上“XX 保险考勤打卡助手”的 28 元的价格计算,单纯销售保险行业的虚伪考勤打卡服务,就可能给黑灰产带来数亿元非法收益。
“考勤打卡神器”让黑灰产牟利,却让保险公司受伤。
虚伪考勤不仅给保险公司带来人工、薪酬、治理、业务等损失,还为虚伪入职提供便当。更有从业者利用“考勤打卡神器”等相似工具,办理虚伪入职后,套取保险公司的薪酬和处分,由此给保险公司带来无奈估算的经济损失。
“考勤打卡神器”背地的黑灰产业链
“考勤打卡神器”毁坏公司失常考勤秩序,给公司带来经济损失,背地有多个起因。
某保险经纪人示意,保险公司的经营体制就是增员、打业务,两者缺一不可。保险公司每年 3 - 4 次大规模增来的新人,带来的新契约保费占比能达到全年的 50% 甚至更多。为了达成公司业绩和考核,很多营销人员采取虚伪增员,骗取下级公司的人头费。他认为,“考勤打卡神器”的呈现是保险行业倒退阵痛的缩影。
专一劳动纠纷的律师卢杨示意,企业的管理制度为了生产治理效力,然而也须要思考劳动者的现实情况,很多违规问题呈现,一是制度的破绽,二是治理流程不欠缺,须要良好联合现实情况。
一位不违心走漏姓名的平安专家示意,“考勤打卡神器”是黑灰产的破解舞弊工具,只是被拿进去用于公开牟利应用。他说,虚伪考勤打卡的形式很多,不仅是利用舞弊工具,还能够间接篡改考勤打卡设施、批改考勤零碎数据等。“这个市场比拟成熟了,从代码篡改到招揽客户,曾经造成一条残缺的产业链。”
顶象公司组编、机械工业出版社出版的《攻守道 - 企业数字业务平安危险与防备》一书中,对黑灰产有明确的定义:网络黑灰产是指利用计算机、网络等伎俩,基于各类破绽,通过恶意程序、木马病毒、网络、电信等模式,以非法盈利为目标规模化、组织化、分工明确的群体组织。
互联网黑灰产业链分为上游、中游、上游。其中上游是工具组,提供各类破解工具、打码平台、伪造工具、代理工具;中游是信息组,提供社工库、垃圾注册、盗号、洗号、信息盗取、数据爬虫等;上游是变现组,对数字类业务施行刷单、刷粉、薅羊毛等危险欺诈攻打。
“考勤打卡神器”的制作过程
顶象业务平安反欺诈专家剖析发现,梁女士应用的“考勤打卡神器”是破解了某保险公司的官网 App,而后对 App 进行篡改后进行二次打包,变成一个山寨 App。该山寨 App 通过屏蔽摄像头影像采集、拦挡无线网络检测,并对 GPS 劫持,伪造虚伪的 LBS 地理位置。在进行相干设置后,梁女士输出本人的工号、上传照片即实现“考勤打卡”。
山寨 App 是十分典型的业务危险欺诈伎俩。黑灰产通过对 App 进行反编译,篡改相干参数并植入恶意代码,而后重装打包并公布 App,进而窃取用户隐衷、歹意推广、骗取钱财等。
黑灰产个别会抉择知名度高或者应用多 App 来进行破解篡改,其制作流程次要有以下几个步骤。
1、以假乱真,混同眼帘。黑灰产通过网络爬虫盗取正版 App 的数据,或者间接通过电商平台购买 App 模板,间接仿照正版 App 的图标、首页、名称等设计制作,以达到混同的目标。
2、绕过审核,市场上架。通过各种形式,将山寨 App 入驻第三方 App 市场。因为大多数 App 市场只是对 App 进行平安和兼容性测试,以及利用合规审核(查看利用中是否是黄赌毒等违禁内容和服务),对于 App 是否存在模拟疏于甄别,这就给了违规 App 堂而皇之登陆正规利用市场的机会。
3、刷榜推广,诱导下载。黑灰产通过刷榜、刷评论、积分墙等形式在利用市场内推广,抢占下载排行榜,晋升曝光度和关注度。同时,还会通过短信、社群、社区、网盘等形式诱导用户下载。
4、国家互联网金融风险剖析技术平台公布的监测数据显示,截至 2020 年 2 月底,发现山寨 App 2801 个,下载量 3343.7 万次。这些山寨 App 不仅给用户带来隐衷和资产损失,更让正规 App 蒙受不白之冤,给品牌带来挫伤,更给企业业务的发展带来微小负面影响。
“山寨 App”给用户带来哪些危险?
山寨 App 不仅给企业带来资金损失,更会窃取使用者隐衷,造成使用者和企业资金损失。
1、窃取用户隐衷。山寨 App 会自从保留收集用户的账号密码等会被窃取他用,更可能主动读取并复制手机通讯录、相册、地位、聊天信息等隐衷信息。
2、盗取账户资金。山寨 App 会收集到账号信息,及时登录正规 App 平台,将账号内资金、积分、余额会被黑灰产转走盗用,间接给用户带来财产损失。
3、用于歹意推广。山寨 App 会通过弹窗、诱导下载等各种形式,举荐用户下载其余 App 或山寨 App,或者为守法 App 导流,甚至局部山寨 App 内置木马病毒,主动公布短信、链接等。
4、欺诈免费。山寨 App 会向用户收取各种手续费、会员费、服务费、保证金、工本费等等,给用户带来资金损失。
防备虚伪考勤,企业须要在三方面着手
网上的“考勤打卡神器”尽管可能解决局部从业者打卡的“懊恼”,但这是一种虚伪考勤行为,是一种职场失信,对集体职场倒退十分不利,一旦被公司发现,不仅会被记录在集体职业信息里,影响工资、奖金、评优、升职等。
顶象业平安反欺诈专家认为,企业须要在治理、处罚以技术上着手,多方面防备虚伪考勤打卡:
1、建设迷信的考勤制度。考勤是为保护企业的失常工作秩序,进步办事效率,庄重企业纪律,使员工自觉遵守工作工夫和劳动纪律,让员工融入公司融入团队之中从而发明更大的效益,是一种谨严、清晰的制度体系。因而考勤应该与下班、排班、工时、休假、加班、津贴、贴补、薪酬、奖金、升职、加薪等体系挂钩,用于掂量员工的薪资和劳动。
2、严格处罚虚伪考勤。虚伪考勤重大的违纪行为,这是对劳动关系的重大舞弊,公司更能够根据《劳动合同法》,对违反了用人单位的制度的集体解除劳动合同,且不须要给予经济弥补。例如,国内某出名公司的《员工行为规范》中明确注明,替人代打卡或要求别人代打卡,虚报考勤属于一级违规。公司将毫无保留地与涉事员工解除合同,并要求其在最长不超过 2 个工作日内办完到职手续。
3、保障考勤设施的安全性。工欲善其事必先利其器,企业既然曾经洽购智能好用的考勤零碎,更须要加强平安防护性。例如,顶象挪动态势感知进攻零碎可能无效防备虚伪考勤、人脸识别舞弊、打卡舞弊等危险,良好保障公司失常考勤秩序。
企业如何防备“考勤打卡神器
企业须要在治理、处罚以技术上着手,多方面防备虚伪考勤打卡。
1、建设迷信的考勤制度。考勤是为保护企业的失常工作秩序,进步办事效率,庄重企业纪律,使员工自觉遵守工作工夫和劳动纪律,让员工融入公司融入团队之中从而发明更大的效益,是一种谨严、清晰的制度体系。考勤应该与下班、排班、工时、休假、加班、津贴、贴补、薪酬、奖金、升职、加薪等体系挂钩,用于掂量员工的薪资和劳动。
2、严格处罚虚伪考勤。虚伪考勤重大的违纪行为,这是对劳动关系的重大舞弊,公司更能够根据《劳动合同法》,对违反了用人单位的制度的集体解除劳动合同,且不须要给予经济弥补。例如,国内某出名公司的《员工行为规范》中明确注明,替人代打卡或要求别人代打卡,虚报考勤属于一级违规。公司将毫无保留地与涉事员工解除合同,并要求其在最长不超过 2 个工作日内办完到职手续。
3、保障考勤设施的平安。工欲善其事必先利其器,企业既然曾经洽购智能好用的考勤零碎,更须要加强平安防护性。例如,顶象挪动态势感知进攻零碎可能无效防备虚伪考勤、人脸识别舞弊、打卡舞弊等危险,良好保障公司失常考勤秩序。