آیا سیستم های حضور و غیاب قابل هک شدن هستند ؟ ترفند های مخفی پرسنل برای دور زدن سیستم کنترل تردد
در این مقاله به ترفندهای مخفی پرسنل برای دور زدن سیستم کنترل تردد میپردازیم؛ از ساعتزنی دوستانه و اسپوفینگ موقعیت مکانی گرفته تا سوءاستفاده از باگهای نرمافزاری و دستکاری زمان. همچنین، دلایل ضعف امنیتی این سامانهها و راهکارهای مؤثر برای مقابله با این چالشها بررسی شدهاند تا سازمانها بتوانند با دیدی جامع، امنیت و کارایی سیستمهای حضور و غیاب خود را ارتقا دهند.
مقدمه
امروزه که همه امور به یکدیگر وابسته و پیوسته است ، کسب و کار ها برای تسهیل انجام فعالیت های گوناگون خود و افزایش بهره وری ، به سیستم های اتوماتیک متکی هستند. از بین این سیستم های اتوماتیک ، سیستم حضور و غیاب به عنوان مولفه ای لازم در مدیریت نیروی کار خودنمایی می کند . سیستم های کنترل تردد مدرن ، چه از نوع اسکنر های بیومتریکی باشند ، چه سیستم های رادیو شناسه و چه فناوری های تشخیص چهره ، با هدف اطمینان از رعایت وقت شناسی ، شفافیت ، مسئولیت پذیری و پاسخگویی طراحی شده اند . اما سوال اینجاست : آیا ترفند های مخفی پرسنل برای دور زدن سیستم کنترل تردد وجود دارد؟
پاسخ مثبت است . مکانیسم های پیگیری و مدیریت حضور و غیاب کارکنان نیز مانند بسیاری از سیستم های دیجیتالی ، مستعد دستکاری ، به ویژه از طرف خودی ها _ یعنی پرسنل هستند . در این نوشتار ، به تقابل جالب میان فناوری ، رفتار انسانی و امنیت می پردازیم . باقی مطالب را از دست ندهید .
آشنایی با ساز و کار سامانه های حضور و غیاب
پیش از آن که ببینیم چطور این سیستم ها مورد هک شدن و دستکاری قرار می گیرند ، بیایید نخست با عملکرد آن ها آشنا شویم : به طور کلی نرم افزار حضور غیاب آنلاین در دسته بندی های زیر جای می گیرند :
سیستم های بیومتریک : در این سیستم ها ، از مشخصات فیزیکی افراد نظیر اثر انگشت ، اسکن عنبیه یا تشخیص چهره جهت احراز هویت و ثبت حضور فرد در سیستم استفاده می شود .
کارت های رادیو شناسه / ارتباط میدان نزدیک : در این روش ، پرسنل کارت های خود را بر روی ریدر قرار می دهند و حضورشان در سیستم حضور و غیاب ثبت می شود .
ورود از طریق پسورد یا شماره شناسایی ( PIN) : در این روش سنتی ، پرسنل بایستی پسورد یا شماره شناسایی مخصوص خود را به طور دستی وارد سیستم کنند .
سیستم حضور و غیاب مبتنی بر جی پی اس و موبایل : در این حالت اپلیکیشن حضور غیاب موقعیت مکانی پرسنل را از طریق جی پی اس پیگیری نموده و به آن ها امکان ثبت شروع کار خود را از راه دور می دهند .
سیستم حضور و غیاب تحت وب : در این سیستم ها ، کارکنان حضور و شروع کار خود را از طریق پرتال های اینترنتی ثبت می کنند .
بدیهی است که هر یک از این سیستم ها ، مزایا و معایب خاص خود را دارند .
آیا سیستم های حضور و غیاب را واقعا می توان هک نمود ؟
به لحاظ فنی بله ، اما واژه “هک کردن” در اینجا صرفا به حملات سایبری در سطوح بالا اتلاق نمی شود ، بلکه ترفند های هوشمندانه ، مهندسی اجتماعی و سو استفاده از عیوب طراحی را نیز در بر می گیرد . همیشه کد نویسان حرفه ای پشت این ماجرا نیستند ، بلکه گاهی فعالیت های یک پرسنل و عدم صداقت او در کار ، موجب این مشکلات می شود .
اکنون نگاهی داشته باشیم به برخی از رایج ترین ترفند های مخفی که پرسنل برای دور زدن سیستم حضور و غیاب و کنترل تردد به کار می برند :
ساعت زنی حضور و غیاب دوستانه ( بادی پانچینگ )
تعریف: یکی از اشکال کلاسیک تقلب در سیستم حضور و غیاب که در آن پرسنل حاضر ، ورود و خروج همکار غایب خود را در سیستم ثبت می کنند .
روش انجام :
- در سیستم های مبتنی بر فناوری رادیو شناسه ، پرسنل غایب از قبل ، کارت شناسایی خود را به همکار خود می دهند تا به جای آن ها بر روی ریدر قرار داده و حضورشان در سیستم ثبت شود .
- در سیستم های بیومتریک ، برخی پرسنل تا حدی پیش می روند که از اثر انگشت سیلیکونی همکار خود برای فریب اسکنر استفاده می کنند .
نبود نظارت کافی و موثر و نیز عدم احراز هویت چند عاملی ، در تداوم بادی پانچینگ نقش دارد .
اسپوفینگ ( جعل ) جی پی اس در اپلیکیشن های موبایل
ماهیت : دستکاری موقعیت مکانی توسط پرسنل به گونه ای که او را در محل کار نشان دهد ، حال آن که حقیقتا در موقعیت مکانی دیگری حضور دارد .
روش انجام :
- استفاده از وی پی ان یا اپلیکیشن های مخصوص اسپوفینگ جی پی اس
- استفاده از ابزار های توسعه دهنده بر روی اندروید جهت شبیه سازی موقعیت مکانی
بسیاری از شرکت ها به داده های ژئولوکیشن ارائه شده توسط اپلیکیشن های موبایل ، بدون تایید متقابل اکتفا می کنند . در صورتی که از فناوری ژئوفنسینگ ( حصاربندی جغرافیایی ) و ذخیره تصویر به طور لحظه ای استفاده نشود ، نمی توان اسپوفینگ را شناسایی و مهار نمود .
سو استفاده از باگ های نرم افزاری و سیستم های قدیمی
ماهیت : سو استفاده از عیوب و نواقص موجود در طراحی سیستم های حضور و غیاب
روش انجام :
- کشف نقاط ضعف سیستم که امکان دستکاری پایگاه داده را می دهد .
- سو استفاده از آی پی هایی که به درستی ایمن نشده و سوابق اشتباه ارائه می دهند .
بسیاری از شرکت های متوسط ، از سیستم های حضور و غیاب قدیمی با نگهداری ضعیف استفاده می کنند . به علاوه ، عدم انجام بررسی های امنیتی مداوم یا باز بینی کد ها ، به این سو استفاده ها دامن می زند .
ترفند های دستکاری زمان
ماهیت : تغییر ساعات سیستم جهت حصول سوابق حضور و غیاب جعلی
روش انجام :
- دستکاری و تغییر ساعت و تاریخ سیستم محلی ، چنانچه سیستم با سرور مرکزی هماهنگ و همزمان نباشد .
- دستکاری داده های جستجو گر از طریق ابزار های توسعه دهنده
سیستم هایی که به داده های مشتری بدون برچسب زمانی بر روی یک سرور ایمن متکی هستند ، به سهولت مورد دستکاری قرار می گیرند .
چرا این ترفند ها جواب می دهند ؟ ضعف سیستماتیک
بیایید صادق باشیم ؛ هیچ سیستمی کامل نیست . بسیاری از سازمان ها ، پیش از نصب و راه اندازی سیستم های حضور و غیاب شان ، ارزیابی های جامعی از میزان ریسک و خطر پذیری انجام نمی دهند . در ادامه ، به بزرگ ترین معایبی اشاره می کنیم که بستر هک شدن را فراهم می کنند :
- عدم احراز هویت چند عاملی
- سخت افزار / نرم افزار بی کیفیت
- عدم نظارت متمرکز
- ممیزی های نامنظم
- نادیده گرفتن ریسک تهدیدات داخلی
چطور با هک سیستم های حضور و غیاب از نوع داخلی مقابله کنیم ؟
خوشبختانه ، چندین راهکار مناسب جهت ایمن سازی نرم افزار های حضور و غیاب وجود دارد ؛ از جمله :
در نظر در نظر گرفتن احراز هویت چند عاملی
- شناسه های بیومتریکی را با تشخیص چهره و رمز یک بار مصرف جهت یک احراز هویت قوی تر ترکیب کنید
از سخت افزار های ضد دستکاری استفاده کنید
- بر روی اسکنر های بیومتریکی ای سرمایه گذاری کنید که قادر به تشخیص زنده بودن تصویر باشد
- از کارت های رادیو شناسه با داده های رمز نگاری شده به جای نوار های مغناطیسی ساده استفاده کنید
به طور منظم ممیزی انجام دهید
- داده های حضور و غیاب را با گزارشات خروجی و بهره وری تطبیق دهید
- سیستم های مشکوک به دستکاری را مورد بررسی های دقیق و کارشناسانه قرار دهید
آموزش به مدیران و پرسنل منابع انسانی
- به آن ها آموزش های لازم جهت شناسایی علائم دستکاری و رفتار های مشکوک را بدهید
- از اتکای بیش از حد به گزارش های شخصی یا اصلاح دستی داده های ورودی بپرهیزید
دسترسی به تجهیزات را محدود کنید
- سیستم های حضور و غیاب را صرفا با آی پی ها و تجهیزات رجیستری شده تنظیم کنید
- قابلیت هایی نظیر گزینه های توسعه دهنده جی پی اس را بر روی گوشی همراه پرسنل غیر فعال کنید.
نتیجهگیری
در دنیایی که فناوری و رفتار انسانی در هم تنیده شدهاند، امنیت سامانههای حضور و غیاب تنها به پیشرفته بودن سیستمها وابسته نیست، بلکه به درک عمیق از ریسکها، آموزش پرسنل و پیادهسازی راهکارهای یکپارچه امنیتی نیز بستگی دارد. واقعیت این است که هر چقدر هم یک سیستم مدرن و پیشرفته باشد، اگر در مقابل نفوذهای داخلی و سوءاستفادههای انسانی ایمنسازی نشده باشد، کارایی و اعتبار خود را از دست خواهد داد.
شرکت کیمیاگران سرزمین رایانه با سالها تجربه در طراحی، پیادهسازی و پشتیبانی از سامانههای حضور و غیاب ایمن و نوآورانه، آماده است تا کسبوکار شما را در برابر تهدیدات پنهان و ترفندهای مخفی محافظت کند. با بهرهگیری از فناوریهای روز، احراز هویت چندعاملی، سختافزارهای ضد دستکاری و تحلیلهای امنیتی پیشرفته، ما نهتنها امنیت حضور و غیاب را تضمین میکنیم، بلکه به شفافیت و بهرهوری نیروی انسانی شما نیز شتاب میدهیم.
✅ همین امروز با ما تماس بگیرید و از خدمات مشاوره رایگان و دموی اختصاصی سیستمهای حضور و غیاب پیشرفته بهرهمند شوید.
کیمیاگران سرزمین رایانه، همراه مطمئن شما در مسیر امنیت دیجیتال و بهرهوری سازمانی.
تیم تولید محتوای کسرا با تخصص در حوزه نرمافزارهای حضور و غیاب و کنترل تردد، محتوایی دقیق و بهروز برای کسبوکارها ارائه میدهد. کارشناسان ما با تجربه در فناوری اطلاعات و مدیریت منابع انسانی، نیازهای کاربران را تحلیل کرده و راهکارهای عملی و قابل اعتماد تهیه میکنند. هدف ما ارائه محتوایی ارزشمند برای افزایش دانش و بهبود تصمیمگیری شماست.
