9月 8日下午,顶象产品总监张祖凯就保险代打卡对抗实践展开分享。详细介绍了保险行业的发展背景、行业现状、痛点以及保险行业的风险,进而谈到了保险行业代打卡的三种风险(人脸识别劫持风险、内外勾结获利风险、内控管理风险)以及顶象的防控手段及对抗实战。
从野蛮生长到规范发展,人力考勤风险成保险行业的高风险之一
保险,作为规避健康风险、理财风险的一种金融商品,今天已经成为大部分人的必选之一。可大部分人不知道的是,保险行业发展到今天并不是一蹴而就的,大致分为四个发展阶段,即初步发展阶段(1978~200)、快速扩张阶段(2001~2010)、松绑创新阶段(2011~2016)、规范发展阶段(2017~至今)。
但中国保险行业发展50年来,为快速抢占市场经历过粗放式经营模式,逐渐出现了保险销售误导、产品条款复杂、理赔流程繁琐、理赔体验差等问题,影响了行业口碑。受信息不对称的制约,保险产品未真正契合用户需求,用户忠诚度低等现实问题。
此外,近年来,人力考勤风险也成为保险公司的高发风险。
保险公司行业渠道主要包括个人代理、银保渠道、直销渠道,直销渠道包括互联网、电销等方式,如意外险、旅行险、百万医疗险贡献保费占比从2016年46%大幅增至2018年59%。但2018年后人力增长放缓,2020年上半年代理人增速出现-0.2%负增长,2021年,据年初银保监会数据,代理制销售人员数据与上年末的842.8万人相比,缩减252.1万人。
人员的精简,意味着保险行业中传统的“人海战术”销售法,正在被全新的销售模式冲击着,各大险企也开始从“数量增长”向“质量增长”转变,注重提高人均产能,降本增效成为了大部分险企的主要诉求之一,人力成本高、渠道支出高、赔付费用高等成为了险企的又一痛点。
因而,成本控制能力也成为保险公司盈利与否的一大影响因素。
数据显示,保险行业人力成本占总成本的比例稳定在30%-31%之间,寿险公司人力成本占比在27%-30%之间,而产险公司则在32%- 36%之间。
与此同时,保险公司的风险也在不断增多,比如外部的黑灰产风险,内部的内控管理风险等等。
例如,2019年某险企分公司有代理人实名爆料,其所在分公司为了完成增员人数任务,在内部系统中窃取客户身份证等个人资料办理虚假入司,10多年来平均每年通过虚假增员,套取公司奖金、绩效和队伍建设费几百万元等。
此外,银保监会披露的“2021年底保险公司销售从业人员执业登记情况通报”显示,截至2021年12月31日,全国保险公司在保险中介监管信息系统执业登记的销售人员641.9万人。打卡作弊严重的地区,保险行业参与考勤作弊的员工数量占比高达25%以上。
那么,保险代打卡究竟会给险企带来哪些风险?
保险代打卡风险几何?
保险代打卡即保险公司员工使用黑产提供的打卡作弊工具,绕过人脸识别,规避保险公司的职场打卡监控,实现人无需到职场或替打卡即可每天完成考勤打卡,套取公司奖金、绩效和队伍建设费,给公司造成大额资产损失,增加无效的人力成本消耗;且大批员工长期这样的弄虚作假,让原本干实事的好员工也一起加入打卡作弊的行列,对公司发展、业务效率均有极大的负面影响。
经过对作弊手段的还原,主要有以下三类风险:
第一类风险:人脸识别劫持:
保险代理人通过作弊工具加载保险公司的App,再进行用户登入,然后在作弊工具上上传个人照片和输入工号信息,无需人脸识别,在App里直接提交打卡即可,打卡所需数据由作弊工具直接注入。经逆向分析了解到,该工具不能绕过蓝牙检测,且极有可能使用hook和注入等方式实现人脸绕过作弊。
此类风险的核心思路有二:
一是劫持摄像头。黑灰产通过给App加入不受App所有者控制的旁路系统,由这个旁路控制App,使得其本该接收由系统唤醒摄像头捕捉的人脸数据替换为接收其准备好的人脸数据。
二是劫持人脸识别返回接口。核心思路是绕过人脸识别流程,直接更换服务端返回结果,从而达到通过人脸识别验证流程。
具体的攻击过程如下:
首先是分析目标程序。即通过反编译、反混淆等逆向手段对目标程序进行分析。反编译工具有很多例如Apktool dex反编译工具dex2jar jadx ,jar包的反编译工具 jd-gui。一般来说,黑灰产会使用jadx对目标程序进行分析,jadx是一款功能强大的反编译工具, 提供了方便的用户界面, 可以通过点击代码进行跳转。同时提供了反混淆、添加注释、查找等辅助功能。
其次是获取设备权限。
通常来说,黑灰产会通过Magisk 来获取设备权限。Magisk是一个Root管理工具,在一个解锁的手机上使用“刷机” 的方式进行安装。安装位置是Android的boot分区,使得其能获取到不受限制的最高权限。Magisk也可以配合其“Magisk Hide”,“Enforce DenyList”,“Shamiko”等插件利用内核的namespace机制进行隐藏 Root状态。
第三步是安装攻击框架。
黑灰产通过Xposed工具来实现。Xposed是一个Androiid系统虚拟机的注入框架,提供插件机制可拦截Java方法调用,修改参数、返回值 。
第四步是劫持摄像头。
最后一步是投喂数据,通过逆向、Root、注入、劫持之后可以进行人脸数据的投喂。
需要注意的是,人脸识别劫持风险在金融领域最为高发的风险之一。比如前不久交通银行发生的人脸识别安全事件。
第二类风险:内外勾结获利。
内外勾结获利即针对部分有蓝牙检测的职场,黑产通过内部合作人员协助打卡,只需提供照片和工号,内部合作人员到现场后使用作弊工具进行打卡,避开蓝牙检测;但是部分职场开启动态蓝牙后,打卡器无法通过验证完成作弊行为。
其基本原理是静态蓝牙广播包是固定的,广播包就像是一个口令,口令匹配成功就可以打卡,匹配不上软件就会提醒蓝牙校验不通过,只要知道广播包和蓝牙MAC地址就可以用模拟器做一个“考勤机”随身携带。而动态蓝牙就是指广播包会变动,也就是口令会变动。
但无论是人脸识别劫持作弊还是通过蓝牙作弊,黑灰产的最终目的依旧是获利。
在网上搜索“保险代打卡”,也会出现大量搜索结果,不仅有详细的图文介绍,更有手把手教人如何“考勤作弊”的视频。部分电商平台上也有大量“XX异地考勤打卡助手”、“考勤打卡助手”“考勤打卡更改地址”等产品和服务出售。根据不同的作弊方式推出对应的价格套餐:
方式一使用打卡作弊软件随心飞,收费标准是60元/人/月;
方式二使用蓝牙打卡器+GPS软件,收费标准是150元/人/月;
方式三直接黑产代打卡,收费标准是80元/人/月。
第三类风险:内控管理风险。
保险行业的运营特点之一就是通过增加代理制销售人员提升销售业绩,也就是行业内说的“增员营销”。因为有新营销员加入,才能大幅增加新的保费。因此增员会有一些奖励,也是很多公司的考核指标,这就导致了一些分支机构不惜采取虚假增员、虚假考勤等方式,骗取上级公司的人头费、管理费的现象。
常见的内部管理风险又分为以下三种:
虚假入职。例如,某保险代理主管在分类信息平台发布招聘需求,只需提供照片,分配工号、不坐班,无销售任务。
“分身”入职。保险代理主管找一堆人员资料办理入职,除了自己正常的留存指纹,剩下的指头,每个指头留一个指纹,每个指纹算一个增员。既满足增员考核,又可以获得公司薪酬资金。当然现在指纹考勤已经替代了人脸考勤,指纹也逐渐替换为上传人脸照片了。
虚假考勤。此外,部分代理人也在利用内控漏洞,通过虚假入职、虚假考勤套取险企资金。例如,代理人无需到公司上班,在家里就能完成每日打卡,完成全额考勤考核要求,成功顺利拿到公司薪酬奖励。
综上所述,虚假考勤不仅会给保险公司带来巨额损失,也会在企业内部形成不良风气,对企业管理造成极大的负面影响,因而,如何防控治理也成为了险企的又一诉求。
险企如何防范代打卡行为?
正所谓有矛就有盾。
针对人脸识别劫持风险和内外勾结获利风险,根据业务流程的先后顺序,可制定事前、事中、事后的防控方案。
就人脸识别劫持风险而言,事前我们可以先做设备风险的识别。
作弊工具对GPS、蓝牙、照片等数据使用注入的方式,这里用到的常用技术手段是代码hook;所以需要对App运行环境进行检测,检查是否有代码注入,hook等行为。从拿到的黑产工具分析来看,作弊工具是一款定制开发的virtualApp,SDK会针对这种virtualApp做检测,验证app是否运行在virtualApp中。
同类行业的防控经验里,发现很多人打卡使用的App并不是官方版本,而是黑产篡改App逻辑以后二次打包后的版本。所以这里需要增加App包合法性检测,主要检测手段包括包的签名、大小、进程信息、App版本号等。可以后台的策略中可以配置目前仍在使用的App版本有哪些,哪些版本不应该存在,存在App版本具体包信息检验。
事前可借助顶象防御云进行风险识别。
事中我们可以结合设备层面的风险、行为层面的风险、征信数据进行处置。
此时就需要多维度的策略。
比如在策略维度,可从以下几方面进行预防:
1)设备终端运行环境检测,校验运行环境风险特征和App版本是否正常,识别是否有注入、函数劫持、二次打包等特征,通常人脸绕过大多具备以上特征;
2)打卡行为检测,设备使用限制,如限制多人使用同一台手机打卡、账户对应的设备经常变化等行为维度检测;
3)结合职场情况分别定制风控策略,比如作弊情况较严重的职场,如果出现少量设备给绝大部分人打卡的情况,制定对应的限制策略;
4)维护本地黑白名单,基于风控数据、历史打卡数据,沉淀并维护对应黑白名单数据,包括工号,手机号,设备黑名单等;
5)外部数据服务,考虑对接手机号风险评分,ip黑库等。
在处置维度,则可以从以下几方面来考虑:
1)静默监测,数据打标
App识别风险后先不实时反馈结果给用户,由后台统一收集数据,延迟一段时间后反馈。通过全量更新+静默监测,可以整体摸清打卡作弊的占比和分布。
2)线上实时反馈
对识别为风险的请求进行实时拦截,直接显示打卡成功或者失败。
事后可通过实时风控引擎执行以上提到的多维策略,将决策结果返回给保险公司已有的业务系统。
而内控管理风险则可通过AI风险数据建模来实现具体的风险防控。
具体防控流程可分为以下几个步骤:
首先是分析建模关联挖掘。
通过对已有数据进行整合、分析、挖掘,为保险公司提供了团伙打卡作弊风险的识别方法。首先通过互保、增员、打卡时间间隔等关系,构建代理人的关联网络,并根据业务经验和模型表现,对不同的关联关系进行加权,计算网络中边的权重;接着,通过Louvain等社区发现算法,对网络进行社区划分,并结合已识别的打卡作弊风险,最后输出符合条件的高风险团伙。通过该算法,可以发现已知风险以外的更多风险。
此外,还可将代理人考勤、打卡的数据和代理人的业绩等数据结合,形成代理人评分模型,识别代理人欺诈风险等更多的内控风险。
其次可通过顶象关联网络对数据进行可视化建模,赋能实时风控引擎。
目前,顶象保险代打卡防控策略可结合实时风险决策引擎等产品,构建打卡反欺诈系统,实现销售人员的高效管理。
在具体防控效果层面,已帮助险企识别上万名虚假代理人,每月阻止超过10万次违规打卡操作,关联网络的团伙打卡作弊代理人检测,命中率高达75% 以上。
最后,再给大家简单介绍下顶象《业务安全大讲堂》系列直播课,本系列汇集业内大咖组建豪华讲师天团,剖析各类欺诈手段,详解前沿安全技术,帮助企业应对业务安全新风险。
下期将由顶象移动安全专家寅峰带来《业务安全平台核心模块解析之移动端安全攻防》,敬请期待!