身边的人脸安全:员工用人脸作弊工具打卡,企业该如何防范?
为全面分析人脸识别市场现状、面临的风险隐患及有效的安全保障措施,顶象近日发布《人脸识别安全白皮书》。《白皮书》就保险行业人脸安全事件进行了详细分析,并阐述了保险行业的人脸安全应用实践。
虚假打卡,员工不上班也能领全勤奖
由于人脸识别技术运用主体的技术条件和管理水平良莠不齐,不法分子甚至会开发作弊工具来破解、干扰、攻击人脸识别技术背后的应用和算法,进而引发盗窃、诈骗、侵入住宅等犯罪,危及被害人的数据安全、财产安全乃至人身安全。
《人脸识别安全白皮书》显示:2021年底,“考勤打卡神器”的新闻刷屏网络。就职于某保险公司的梁女士,每天无需到公司上班,在家里就能完成每日考勤打卡,并拿到全勤奖。
2022年1月,顶象防御云业务安全情报中心监测发现保险行业更多类似案例。黑灰产破解多家公司保险考勤系统,还制作出打卡作弊工具,并向保险公司员工兜售“代打卡服务”。通过该服务,保险公司员工能够不出门不到岗,也可以实现“上班打卡”,轻松领取全勤奖。
顶象防御云业务安全情报中心分析发现,黑灰产使用三种技术手段进行“虚假考勤”。
1、人脸考勤作弊工具:针对配置人脸识别的考勤系统。购买者启动黑灰产提供的“人脸伪造考勤作弊工具”,然后登录保险公司的官方App。通过作弊工具会上传个人照片、输入工号信息,作弊工具通过注入方式,向系统内提交虚假数据,从而骗过人脸识别,完成考勤打卡。
2、蓝牙考勤作弊工具:针对配置有蓝牙检测考勤系统。购买者将个人照片和工号提交给黑灰产,黑灰产再将相关提交给内部合作人员。在现场的内部合作人员,使用黑灰产的作弊工具,绕过蓝牙定位检测,完成考勤打卡。
3、远程代打卡:针对不能够熟练使用作弊工具的购买者,黑灰产提供“远程代打卡服务”。购买者只需要提供工号给黑灰产,即可完成每日考勤打卡。或者,黑灰产破解公司的考勤系统或App,变成一个山寨App,输入购买人的照片和工号,即自动完成远程考勤打卡操作。
员工考勤作弊背后的人脸安全风险
《人脸识别安全白皮书》分析发现,保险公司员工利用人脸考勤作弊工具进行虚假打卡是“人脸识别系统不安全”造成。
人脸识别系统不安全,就是黑灰产破解人脸识别应用或安全保护,篡改验证流程、通讯信息,劫持访问对象、修改软件进程,将后台或前端的真数据替换为假数据,以实现虚假人脸信息的通过。主要破解系统代码、劫持摄像头、篡改传输报文进行破坏。
破解系统代码:破解人脸识别系统代码、人脸识别应用的代码,篡改人脸识别代码的逻辑,或者注入攻击脚本,改变其执行流程,人脸识别系统按照攻击者设定的路径进行访问、反馈。
劫持摄像头:通过入侵人脸识别设备,或在设备上植入后门,通过刷入特定的程序来劫持摄像头、劫持人脸识别App或应用,绕过人脸的核验。
篡改传输报文:通过破解入侵人脸识别系统或设备,劫持人脸识别系统与服务器之间的报文信息,对人脸信息进行篡改,或者将真实信息替换为虚假信息。
专为人脸识别定制的安全解决方案
《人脸识别安全白皮书》展示了专业人脸识别系统安全的解决方案——顶象业务安全感知防御平台。该平台具有威胁可视化、威胁可追溯、设备关联分析、多账户管理、覆盖多平台、开放数据接入、主动防御机制、支持防御策略和处置自定义和全流程防控等特点,已为保险、银行、出行、互联网等多家单位提供人脸识别系统安全保障。
某保险公司省级分公司部署顶象业务安全感知防御平台后,当月就发现10000+名代理人通过息进行虚假考勤打卡,拦截阻止超过15万次风险操作,为分公司挽回500万元的代理费用。
顶象《人脸识别安全白皮书》共有8章73节。系统对人脸识别组成、人脸识别的潜在风险隐患、人脸识别威胁产生的原因、人脸识别安全保障思路、人脸识别安全解决方案、国家对人脸识别威胁的治理等进行了详细介绍及重点分析。