09196769974 |

41452000 - 021

خرید و مشاوره
تماس با ما

آیا سیستم های حضور و غیاب قابل هک شدن هستند ؟ ترفند های مخفی پرسنل برای دور زدن سیستم کنترل تردد

در این مقاله به ترفندهای مخفی پرسنل برای دور زدن سیستم کنترل تردد می‌پردازیم؛ از ساعت‌زنی دوستانه و اسپوفینگ موقعیت مکانی گرفته تا سو‌ءاستفاده از باگ‌های نرم‌افزاری و دستکاری زمان. همچنین، دلایل ضعف امنیتی این سامانه‌ها و راهکارهای مؤثر برای مقابله با این چالش‌ها بررسی شده‌اند تا سازمان‌ها بتوانند با دیدی جامع، امنیت و کارایی سیستم‌های حضور و غیاب خود را ارتقا دهند.

فهرست مطالب

مقدمه

امروزه که همه امور به یکدیگر وابسته و پیوسته است ، کسب و کار ها برای تسهیل انجام فعالیت های گوناگون خود و افزایش بهره وری ، به سیستم های اتوماتیک متکی هستند. از بین این سیستم های اتوماتیک ، سیستم حضور و غیاب به عنوان مولفه ای لازم در مدیریت نیروی کار خودنمایی می کند . سیستم های کنترل تردد مدرن ، چه از نوع اسکنر های بیومتریکی باشند ، چه سیستم های رادیو شناسه و چه فناوری های تشخیص چهره ، با هدف اطمینان از رعایت وقت شناسی ، شفافیت ، مسئولیت پذیری و پاسخگویی طراحی شده اند . اما سوال اینجاست : آیا ترفند های مخفی پرسنل برای دور زدن سیستم کنترل تردد وجود دارد؟

پاسخ مثبت است . مکانیسم های پیگیری و مدیریت حضور و غیاب کارکنان نیز مانند بسیاری از سیستم های دیجیتالی ، مستعد دستکاری ، به ویژه از طرف خودی ها _ یعنی پرسنل هستند . در این نوشتار ، به تقابل جالب میان فناوری ، رفتار انسانی و امنیت می پردازیم . باقی مطالب را از دست ندهید .

ترفند های مخفی پرسنل برای دور زدن سیستم کنترل تردد

آشنایی با ساز و کار سامانه های حضور و غیاب

پیش از آن که ببینیم چطور این سیستم ها مورد هک شدن و دستکاری قرار می گیرند ، بیایید نخست با عملکرد آن ها آشنا شویم : به طور کلی نرم افزار حضور غیاب آنلاین در دسته بندی های زیر جای می گیرند :

 

 سیستم های بیومتریک : در این سیستم ها ، از مشخصات فیزیکی افراد نظیر اثر انگشت ، اسکن عنبیه یا تشخیص چهره جهت احراز هویت و ثبت حضور فرد در سیستم استفاده می شود .

کارت های رادیو شناسه / ارتباط میدان نزدیک : در این روش ، پرسنل کارت های خود را بر روی ریدر قرار می دهند و حضورشان در سیستم حضور و غیاب ثبت می شود .

ورود از طریق پسورد یا شماره شناسایی ( PIN) : در این روش سنتی ، پرسنل بایستی پسورد یا شماره شناسایی مخصوص خود را به طور دستی وارد سیستم کنند .

سیستم حضور و غیاب مبتنی بر جی پی اس و موبایل : در این حالت اپلیکیشن حضور غیاب موقعیت مکانی پرسنل را از طریق جی پی اس پیگیری نموده و به آن ها امکان ثبت شروع کار خود را از راه دور می دهند .

سیستم حضور و غیاب تحت وب : در این سیستم ها ، کارکنان حضور و شروع کار خود را از طریق پرتال های اینترنتی ثبت می کنند .

بدیهی است که هر یک از این سیستم ها ، مزایا و معایب خاص خود را دارند .

 

آیا سیستم های حضور و غیاب را واقعا می توان هک نمود ؟

به لحاظ فنی بله ،  اما واژه “هک کردن” در اینجا صرفا به حملات سایبری در سطوح بالا اتلاق نمی شود ، بلکه ترفند های هوشمندانه ، مهندسی اجتماعی و سو استفاده از عیوب طراحی را نیز در بر می گیرد . همیشه کد نویسان حرفه ای پشت این ماجرا نیستند ، بلکه گاهی فعالیت های یک پرسنل و عدم صداقت او در کار ، موجب این مشکلات می شود .

 اکنون نگاهی داشته باشیم به برخی از رایج ترین ترفند های مخفی که پرسنل برای دور زدن سیستم حضور و غیاب و کنترل تردد به کار می برند :

 

ساعت زنی حضور و غیاب دوستانه ( بادی پانچینگ )

تعریف: یکی از اشکال کلاسیک تقلب در سیستم حضور و غیاب که در آن پرسنل حاضر ، ورود و خروج همکار غایب خود را در سیستم ثبت می کنند .

 

روش انجام :

  • در سیستم های مبتنی بر فناوری رادیو شناسه ، پرسنل غایب از قبل ، کارت شناسایی خود را به همکار خود می دهند تا به جای آن ها بر روی ریدر قرار داده و حضورشان در سیستم ثبت شود .
  • در سیستم های بیومتریک ، برخی پرسنل تا حدی پیش می روند که از اثر انگشت سیلیکونی همکار خود برای فریب اسکنر استفاده می کنند .

نبود نظارت کافی و موثر و نیز عدم احراز هویت چند عاملی ، در تداوم بادی پانچینگ نقش دارد .

آیا سیستم های حضور و غیاب را واقعا می توان هک نمود ؟

 اسپوفینگ ( جعل ) جی پی اس در اپلیکیشن های موبایل

ماهیت : دستکاری موقعیت مکانی توسط پرسنل به گونه ای که او را در محل کار نشان دهد ، حال آن که حقیقتا در موقعیت مکانی دیگری حضور دارد .

 

روش انجام :

  • استفاده از وی پی ان یا اپلیکیشن های مخصوص اسپوفینگ جی پی اس
  • استفاده از ابزار های توسعه دهنده بر روی اندروید جهت شبیه سازی موقعیت مکانی

 

 بسیاری از شرکت ها به داده های ژئولوکیشن ارائه شده توسط اپلیکیشن های موبایل ، بدون تایید متقابل اکتفا می کنند .  در صورتی که از فناوری ژئوفنسینگ ( حصاربندی جغرافیایی ) و ذخیره تصویر به طور لحظه ای استفاده نشود ، نمی توان اسپوفینگ را شناسایی و مهار نمود .

 

سو استفاده از باگ های نرم افزاری و سیستم های قدیمی

ماهیت : سو استفاده از عیوب و نواقص موجود در طراحی سیستم های حضور و غیاب

روش انجام :

  • کشف نقاط ضعف سیستم که امکان دستکاری پایگاه داده را می دهد .
  • سو استفاده از آی پی هایی که به درستی ایمن نشده و سوابق اشتباه ارائه می دهند .

 

بسیاری از شرکت های متوسط ، از سیستم های حضور و غیاب قدیمی با نگهداری ضعیف استفاده می کنند . به علاوه ، عدم انجام بررسی های امنیتی مداوم یا باز بینی کد ها ، به این سو استفاده ها دامن می زند .

دور زدن سیستم کنترل تردد

 ترفند های دستکاری زمان

ماهیت : تغییر ساعات سیستم جهت حصول سوابق حضور و غیاب جعلی

 

روش انجام :

  • دستکاری و تغییر ساعت و تاریخ سیستم محلی ، چنانچه سیستم با سرور مرکزی هماهنگ و همزمان نباشد .
  • دستکاری داده های جستجو گر از طریق ابزار های توسعه دهنده

 

سیستم هایی که به داده های مشتری بدون برچسب زمانی بر روی یک سرور ایمن متکی هستند ، به سهولت مورد دستکاری قرار می گیرند .

 

چرا این ترفند ها جواب می دهند ؟ ضعف سیستماتیک

بیایید صادق باشیم ؛ هیچ سیستمی کامل نیست . بسیاری از سازمان ها ، پیش از نصب و راه اندازی سیستم های حضور و غیاب شان ، ارزیابی های جامعی از میزان ریسک و خطر پذیری انجام نمی دهند . در ادامه ، به بزرگ ترین معایبی اشاره می کنیم که بستر هک شدن را فراهم می کنند :

 

  • عدم احراز هویت چند عاملی
  • سخت افزار / نرم افزار بی کیفیت
  • عدم نظارت متمرکز
  • ممیزی های نامنظم
  • نادیده گرفتن ریسک تهدیدات داخلی

 

چطور با هک سیستم های حضور و غیاب از نوع داخلی مقابله کنیم ؟

خوشبختانه ، چندین راهکار مناسب جهت ایمن سازی نرم افزار های حضور و غیاب وجود دارد ؛ از جمله :

 

در نظر در نظر گرفتن احراز هویت چند عاملی

  • شناسه های بیومتریکی را با تشخیص چهره و رمز یک بار مصرف جهت یک احراز هویت قوی تر ترکیب کنید

 

از سخت افزار های ضد دستکاری استفاده کنید

  • بر روی اسکنر های بیومتریکی ای سرمایه گذاری کنید که قادر به تشخیص زنده بودن تصویر باشد
  • از کارت های رادیو شناسه با داده های رمز نگاری شده به جای نوار های مغناطیسی ساده استفاده کنید

 

به طور منظم ممیزی انجام دهید

  • داده های حضور و غیاب را با گزارشات خروجی و بهره وری تطبیق دهید
  • سیستم های مشکوک به دستکاری را مورد بررسی های دقیق و کارشناسانه قرار دهید

 

 

 آموزش به مدیران و پرسنل منابع انسانی

  • به آن ها آموزش های لازم جهت شناسایی علائم دستکاری و رفتار های مشکوک را بدهید
  • از اتکای بیش از حد به گزارش های شخصی یا اصلاح دستی داده های ورودی بپرهیزید

 

 

دسترسی به تجهیزات را محدود کنید

  • سیستم های حضور و غیاب را صرفا با آی پی ها و تجهیزات رجیستری شده تنظیم کنید
  • قابلیت هایی نظیر گزینه های توسعه دهنده جی پی اس را بر روی گوشی همراه پرسنل غیر فعال کنید.

شرکت کیمیاگران سرزمین رایانه

نتیجه‌گیری

در دنیایی که فناوری و رفتار انسانی در هم تنیده شده‌اند، امنیت سامانه‌های حضور و غیاب تنها به پیشرفته بودن سیستم‌ها وابسته نیست، بلکه به درک عمیق از ریسک‌ها، آموزش پرسنل و پیاده‌سازی راهکارهای یکپارچه امنیتی نیز بستگی دارد. واقعیت این است که هر چقدر هم یک سیستم مدرن و پیشرفته باشد، اگر در مقابل نفوذهای داخلی و سوءاستفاده‌های انسانی ایمن‌سازی نشده باشد، کارایی و اعتبار خود را از دست خواهد داد.

شرکت کیمیاگران سرزمین رایانه با سال‌ها تجربه در طراحی، پیاده‌سازی و پشتیبانی از سامانه‌های حضور و غیاب ایمن و نوآورانه، آماده است تا کسب‌وکار شما را در برابر تهدیدات پنهان و ترفندهای مخفی محافظت کند. با بهره‌گیری از فناوری‌های روز، احراز هویت چندعاملی، سخت‌افزارهای ضد دستکاری و تحلیل‌های امنیتی پیشرفته، ما نه‌تنها امنیت حضور و غیاب را تضمین می‌کنیم، بلکه به شفافیت و بهره‌وری نیروی انسانی شما نیز شتاب می‌دهیم.

همین امروز با ما تماس بگیرید و از خدمات مشاوره رایگان و دموی اختصاصی سیستم‌های حضور و غیاب پیشرفته بهره‌مند شوید.
کیمیاگران سرزمین رایانه، همراه مطمئن شما در مسیر امنیت دیجیتال و بهره‌وری سازمانی.

 

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


نرم افزار حضور و غیاب
نرم افزار اتوماسیون تغذیه
سامانه حراست و انتظامات
دستگاه حضور و غیاب

لطفا برای دریافت مشاوره و خرید فرم را پر کنید.