Как обойти систему контроля? 7 уловок полевых сотрудников
Контроль удаленного персонала — головная боль FMCG-компаний. Они покупают SFA-систему, устанавливают мобильное приложение на устройство сотрудника, и видят, что делает торговый представитель или мерчандайзер в рабочее время — действительно работает или чай в кафе пьет.
Но некоторые полевые сотрудники любят и умеют обходить системы контроля. Рассказываем о самых распространенных схемах и лайфхаках, которые помогут руководителям sales force предотвращать нарушения регламентов.
Суть схемы. Сотрудник из дома открывает визит в мобильном приложении, вносит фейковые остатки и формирует на их основании заказ. В систему попадут недостоверные данные, торговая точка останется с пустыми полками или будет «перетарена».
Лайфак для руководителя. В бизнес-приложение должен быть встроен механизм контроля GPS. Хороший инструмент позволяет сделать фиксацию координат обязательным шагом, тогда визиты без координат можно не засчитывать и не оплачивать.
Суть схемы. Сотрудник начинает визит в торговой точке, фиксирует координаты и уезжает. Факт посещения в системе подтвержден, но работа с точкой не проводилась или была сделана не полностью.
Лайфак для руководителя. Ищите приложение, которое умеет фиксировать координаты начала и окончания визита. Идеально, если данные по сотруднику и по команде автоматически агрегируются в отчеты.
Суть схемы. Некоторым полевым сотрудникам не везет: садится батарейка, падает сеть, отключается датчик GPS. Технические сбои могут быть прикрытием для схем «диванный визит» или «короткие перебежки». Супервайзер не в состоянии проверять каждое посещение, и компания не представляет масштабы бедствия.
Лайфак для руководителя. Такая проблема не возникнет, если мобильное приложение умеет запрещать оформление визита, когда сотрудник удален от точки больше, чем на 200 метров. Технический сбой? Неправильные координаты? Пусть оформит разрешение на работу у супервайзера, а система зафиксирует эту информацию для отдельной проверки.
Как сотрудники могут обманывать системы учёта рабочего времени

Точный, строгий и не делающий исключений учёт рабочего времени – основа порядка и дисциплины в компании. Если сотрудники знают, что любое опоздание, прогул или другие нарушения рабочего распорядка будут зафиксированы и превратятся в санкции от руководства, они с меньшей вероятностью станут рисковать и делать что-то не так. Поэтому внедрение СУРВ (Системы Учёта рабочего Времени) для руководителя – важная задача для любого руководителя.
Классическое решение – организация человеческого контроля. Специально назначенный сотрудник или охранник вручную отмечает в журнале время появления на работе и ухода с нее. Это самый простой, но и наименее эффективный подход из-за человеческого фактора. Намеренные и случайные ошибки с фиксацией времени, «мёртвые души», личные договорённости – проконтролировать корректность заполнения табеля крайне сложно. А обуздать инсайдеров – практически невозможно.
В общем, ручной контроль нерационален с точки зрения затрат и результата. Но есть целый ряд автоматизированных решений, обеспечивающих более высокую эффективность. Наиболее популярные из них – СКУД, биометрический контроль, трекеры и специальное корпоративное ПО. Ниже мы рассмотрим их, а также наиболее распространённые методики, позволяющие обмануть системы учёта рабочего времени.
Как обмануть СКУД?
СКУД (Система Контроля и Управления Доступом) – наиболее распространённое сейчас решение среди средств автоматизации. Но не самое эффективное из-за большого количества слабых мест.
СКУД – это магнитные ключ-карты, выдаваемые всем сотрудникам, и считыватели, устанавливаемые на входе в здание или офис. Работник прикладывает карту к устройству, получает доступ в помещение, и одновременно фиксируется время его прибытия на работу.
Преимущество системы – простота. Главный недостаток – СКУД легко обмануть. Например, передав свой ключ сослуживцу, который зафиксирует фантомный выход на работу, что позволит избежать наказания за прогул или опоздание. Ещё один вариант – умышленно забыть или потерять карту, из-за чего руководитель будет вынужден вручную вносить данные в отчёт, не имея достоверной информации о реальном соблюдении рабочего распорядка.
Кроме того, СКУД – это постоянные расходы для компании, ведь карты теряются и изнашиваются, а терминалы выходят из строя из-за активного использования.
Как обмануть биометрический контроль по отпечатку пальца?
Контроль с помощью биометрии набирает популярность, поскольку на первый взгляд кажется непогрешимым. Как обмануть биометрию по отпечатку пальца? Ведь только в кино для суперагентов создаются ложные слепки, и происходит это в отлично оборудованных лабораториях. Простому работнику это не по силам!
Известный японский криптограф Цутому Мацумото еще в 2002 году провёл исследование и опубликовал руководство, позволяющее создать качественный слепок отпечатка пальца в домашних условиях с помощью графитового порошка, суперклея и обычного желе. И его методы оказались действенными – слепки отлично срабатывают.
В 2014 году один из докладов на конференции хакеров Chaos Communication Congress шокировал общественность. Эксперты продемонстрировали настоящий слепок отпечатка пальца министра обороны Германии, созданный на основе качественных фото, взятых из открытых источников. Работоспособность этой технологии подтвердилась и исследованием, проведённым Национального института информатики Японии.
В общем, обмануть биометрику по отпечатку пальца можно. И это даже не слишком сложно.
Как обмануть биометрический контроль по сканированию лица?
Контроль по биометрии лица кажется ещё более совершенным сравнительно с отпечатками пальцев. Но и его можно обойти, причём сразу несколькими методами. Просто обход получится более сложным и дорогостоящим.
Вот только некоторые варианты:
- Как обмануть биометрию радужной оболочки глаза? Оказывается, в большинстве случаев достаточно хорошего фотоаппарата с линзой не менее 200 мм. Как правило, сканеры успешно считывают такие фото.
- Ещё один вариант обмана сканера сетчатки – заказать контактные линзы с нужным рисунком радужной оболочки.
- Видеоконтроль можно обмануть с использованием DEEP FAKE. Применение технологий глубокого машинного обучения позволяет создавать видео, демонстрация которых обманывает сканер, заставляя его воспринимать видеоряд как реальность.
- Также контроль по сканированию лица можно обмануть с помощью 3D-маски. Учитывая, что профессиональные фотоаппараты (впрочем, как и 3D-сканеры) и 3D-принтеры редкостью не являются, сделать маску не слишком сложно.
Ненадёжность биометрической защиты в 2018 году подтвердили журналисты Forbes, которые исследовали эффективность распознавания лиц на ТОПовых моделях смартфонов. 3D-маска в 80% помогла разблокировать устройство. Очевидно, комментарии здесь не нужны.
Как обмануть тайм-трекер?
Тайм-трекер – программа, фиксирующая не только начало и завершение работы за ПК, но и активность сотрудника в течение дня. Это простое ПО, но многие руководители считают его достаточно действенным. На самом деле существуют многочисленные способы обмана тайм-трекера, причём очень доступные:
- Можно запустить любую рабочую программу и приклеить или привязать к мышке любую детскую игрушку, чтобы мышь регулярно двигалась.
- Можно запустить Word, 1C или Excel, минимизировать размеры окна приложения, а дальше включить кино или заниматься чем-то другим, бездельничая.
- Можно купить или написать скрипт или ПО для имитации деятельности, и ничего не делать.
Во всех этих случаях руководитель будет уверен, что сотрудник добросовестно работает, и выявить нарушение удастся разве что случайно.
Работники регулярно придумывают что-то новое для обхода контроля со стороны подобного ПО. Например, интересный способ обмана тайм-трекера удалось выявить с помощью программы Kickidler. В отделе техподдержки штат из пяти сотрудников. Один из них запускал на своём ПК TeamViewer, подключался через него к остальным терминалам и работал. В итоге трекер регистрировал одинаково высокую активность на всех компьютерах, хотя на рабочем месте находился всего один человек.
Как обмануть GPS-трекер?
GPS-трекеры работодатели устанавливают преимущественно мерчендайзерам, водителям и другим сотрудникам, работа которых связана с постоянным передвижением и не может быть проконтролирована в офисе. Контроль через спутниковую навигацию на первый взгляд выглядит надёжно, но и он не безупречен.
Как обмануть программы для мерчендайзеров с контролем через GPS? Популярные варианты:
- Установка FakeGPS или другого ПО, имитирующего координаты GPS. Можно оставаться дома, а программа будет исправно отсылать данные об активном передвижении.
- Установка на устройство вирусного ПО, что позволяет избавиться от контроля вследствие утраты работоспособности смартфона или планшета.
- Принудительный разряд батареи смартфона – тоже помогает отключить контроль.
В общем, обмануть GPS-трекер тоже не слишком сложно, и для этого не обязательно быть хакером или программистом.
Как обмануть программу мониторинга сотрудников Kickidler?
Можно смело утверждать, что Kickidler – единственная система учёта рабочего времени, которую невозможно обмануть. Причин сразу несколько:
- В отличие от обычных тайм-трекеров и других СУРВ в Kickidler есть функция записи видео с экранов ПК сотрудников. При возникновении подозрений, что работник занимался чем-то другим, можно просто посмотреть, что он делал в интересующее время.
- В Kickidler есть функция просмотра экрана ПК сотрудника в режиме онлайн. Руководитель может в реальном времени посмотреть, занимается ли работник делом, или смотрит кино.
- В Kickidler есть система автоуведомлений «Автокик» для сотрудников, настраиваемых в обширном диапазоне. Система будет сама предупреждать о нарушениях. Будь то – посещение запрещённого сайта, сидение в соцсетях, длительное бездействие. Также есть наработки по обнаружению работы скриптов, имитирующих бурную деятельность. Например, непрерывная активность в одном и том же приложении в течение 30 минут – это подозрительно, но вручную отслеживать такие аномалии невозможно. А Kickidler способен проводить постоянный мониторинг по любым заданным критериям.
С помощью данного ПО удаётся раскрывать, как простые, так и хитрые махинации с продуктивностью. Например, функционал системы Kickidler поможет обнаружить хитрость с зажатой клавишей на клавиатуре. Работник запускает Microsoft Word или другую продуктивную программу, ставит на клавиатуру что-то тяжелое, и спокойно смотрит кино в фоне или отдыхает. Любой тайм-трекер расценит такое времяпровождение, как продуктивное. Kickidler же не регистрирует залипание клавиши, как полезное действие. К тому же всегда можно посмотреть онлайн видео с монитора работника.
Также это ПО помогло обнаружить любителя смотреть сериалы на работе. Сотрудник запускал AutoCAD, периодически нажимал на клавиатуру, одновременно смотря в фоне кино. Работодателя насторожило снижение продуктивности, он посмотрел запись с экрана работника и легко выявил нарушение.
Ещё один интересный кейс – обнаружение удалённого сотрудника, занимавшегося фрилансом в рабочее время. Подключение к экрану работника позволило установить, что вместо выполнения основной задачи он занимался срочными заказами с фриланс-биржи. И таких примеров того, что Kickidler не обмануть, множество.
Kickidler со 100% точностью регистрирует фактическое начало и завершение рабочего дня, паузы, бездействие и опоздания. Программа предоставляет достоверные данные по учёту рабочего времени, и при этом анализирует, как кто работает. Пожалуй, это единственная защищённая СУРВ на данный момент.
Как сотрудники обходят системы контроля
Современный прогресс позволяет создавать различные системы контроля на предприятиях, начиная от видеокамер и прослушивающих устройств и заканчивая современными электронными системами идентификации сотрудников. De jure компания имеет право контролировать своих сотрудников, однако мало кому из них это нравится. Кто-то пытается обойти используемые системы контроля — отчасти ради своего комфорта, отчасти из принципа. На каждое действие, как известно, находится свое противодействие.
О контроле рабочего времени
В компании предусмотрена выверенная система контроля. Все начинается с прихода на работу. Охранники делают запись в табельном журнале о времени прихода, затем мы прикладываем к считывающему устройству наши личные магнитные карты. Чтобы выйти из офиса на лестницу, к лифту или в туалет, нужно также использовать карту. При этом в считывающем устройстве отмечается время входа/выхода из офиса и сколько времени я не работал. Если суммарное отсутствие за день составляет более четырех часов, этот день считают за прогул и вычитают из отпуска.
Способов обмана магнитных карт несколько. Можно взять карту друга и отметить его посещение на работе. При выходе из офиса по одной карте можно пройти с кем-нибудь другим. Но в последнее время у нас по видеокамерам это засекли и сделали предупреждение, что будут карать штрафом. Однажды, когда мне надо было очень рано уйти с работы, но я не хотел, чтобы мой прогул заметили, пришлось незаметно выйти из офиса с другом по его карточке, а потом прошмыгнуть мимо охраны. Неудобно, что вечером пришлось вернуться в офис и приложить магнитную карту к устройству на выходе, как будто я был на работе и только теперь ухожу.
В больших компаниях часто не доверяют рядовым сотрудникам и получают в обмен неприязнь к вышестоящим менеджерам и ненависть к царящим порядкам. Чрезмерный контроль, повышенное внимание к мелочам, подсчет перекуров, проверка личных вещей приводит, по утверждениям работников, к негативному отношению к компании и банальному воровству. В небольших компаниях сильнее развит элемент доверия, и этим часто пользуются работники. У них шансов нанести реальный ущерб хозяину фирмы на работе гораздо больше.
В нашей компании систему контроля можно назвать сверхлояльной. У нас предусмотрена система электронных пропусков, но я уже давно ей не пользуюсь. В здании находятся несколько компаний, поэтому входов тоже несколько. Я работаю на шестом этаже и мне удобнее входить через соседнюю фирму, чтобы сразу попадать к лифту. Если пользоваться главным входом, придется сделать крюк. Так же поступают и другие сотрудники, поэтому наш приход-уход в компьютерной системе никак не отмечается. Камеры находятся в каждом помещении, но никто не занимается постоянным наблюдениям. К записанной информации обращаются только в экстренной ситуации, чтобы выяснить, в чем дело.
На проходной за выносом предметов, кроме уж очень больших коробок, не следят: я спокойно утаскиваю домой рабочий ноутбук. Но так как все предметы, принадлежащие фирме, пронумерованы — во время инвентаризации вернуть оборудование все-таки надо. Что касается прослушивания, ходят слухи, что такое устройство находится в лифте, но я все равно в это не особо верю.
О контроле за использованием компьютеров
У нас по всему офису расставлены камеры высокого разрешения, позволяющие в мельчайших подробностях рассмотреть изображения на мониторах сотрудников. Нам предоставлен неограниченный доступ к сети Интернет, но использовать его в личных целях официально разрешено только в нерабочее время, то есть до 8:00 или после 17:30. На компьютере сняты все записывающие устройства, такие как пишущий CD-ROM, floppy disc, выходы USB и установлена специальная программа, с помощью которой администратор может удаленно управлять всеми процессами на моем компьютере.
Для того чтобы скачать информацию с компьютера, нужно заполнить на нашем внутреннем сайте заявление администратору, которое должен подписать непосредственный руководитель проекта, начальник лаборатории и сам директор. Но в любой стене есть свои лазейки. Отделы регулярно получают для разработки новые проекты, т. е. задания от руководства. Для этих проектов в каждом отделе есть так называемая тестовая машина, на которой мы ставим производственные эксперименты. Тогда мы пишем заявку руководству о том, что для поднятия боевого духа команды нужен новый диск «Виагры» или пишущие CD-ROM для записи важнейшей информации по проекту. А уж какую именно информацию мы переписываем — это другой вопрос.
Залезать на интересующие сайты можно в любое рабочее время, никто на самом деле за этим не следит. Вещи, выдаваемые отделу для выполнения проекта, такие как веб-камеры, ИК-порты, диски и т. д. вообще нигде не учитываются, поэтому их можно по-тихому себе «пристроить». Конечно, это касается только мелких деталей, монитор никому вынести не удастся.
Самым распространенным способом контролировать сотрудников является мониторинг их e-mail переписки, web-серфинга и использования интернет-пейджеров. Чтобы посещать закрытые системным администратором сайты, вести приватную переписку и пользоваться «аськой», легко можно прибегнуть к помощи многочисленных анонимайзеров (cgi proxy) и других программных средств, в изобилии размещенных в Интернете. Впрочем, системный администратор в любом случае получит информацию о посещении этих ресурсов и сможет сообщить руководителю. Но ведь есть еще популярные смартфоны, коммуникаторы и прочие компактные устройства, которые позволяют вести e-mail переписку и общаться в «аське» где и когда угодно.
О коммерческой тайне
У нас дружный коллектив, поэтому мы все друг друга видим и знаем, что никто ничего криминального не совершает. Но если смотреть на технику безопасности в целом, то это упущение фирмы: мы никаких документов о разглашении корпоративных тайн не подписывали, поэтому, по сути дела, можно спокойно брать важную информацию и уносить на продажу конкурентам. Одно дело, что мы этого делать не станем, но теоретически могли бы.
Что касается контроля за сохранением коммерческой тайны и запрета на компактные носители, подключаемые к USB, то в большинстве случаев запреты такого рода неоправданны — сотрудник всегда может переслать необходимую информацию на свой почтовый ящик и обойти запрет. К тому же современные камерофоны позволяют всем желающим поиграть в шпионов и сфотографировать нужные документы, хранящиеся на бумажных носителях.
Вся личная почта просматривается специальными роботами. Они ищут ключевые слова, относящиеся к проекту отдела, в котором работает служащий. Все эти методы были приняты в связи с участившимися случаями продажи секретной информации конкурирующим фирмам. Правда, эти случаи были отмечены в Корее, но вот контроль ужесточили во всех филиалах. Систему контроля, кстати, разрабатывали и устанавливали сами корейцы.
Если есть огромное желание передать кому-то письмо, в котором есть ключевое слово проекта, и хочется, чтобы роботы это не засекли, можно заархивировать документ и… все! Так что, теоретически продавать сверхсекретные документы заархивированными по почте можно не боясь.
Отношение к системе контроля
Большинство наемных работников готово скорее принять установленные правила, чем тратить силы и время на попытки уйти из-под контроля руководства.
Система контроля, наверное, может чем-то ущемлять права, но нас это не касается. Наши служащие относятся к ней с завидной долей равнодушия. Есть она, нет ее — каждый, в общем, делает то, что хочет.
Всем нам уже давно известны те места в здании, где можно укрыться от камер, поговорить по телефону без прослушивания или свободно пообщаться друг с другом. Хотя недавно нас собрал администратор и предупредил, что у нас в стране, безусловно, свобода слова, но расхаживать по территории фирмы с разговорами о том, что начальник — дурак и вообще ничего не смыслит, все же не стоит…
Обойти можно практически любую систему контроля, за исключением скрытых камер и систем звукозаписи. Но и об их существовании сотрудники рано или поздно узнают и начинают корректировать свое поведение соответствующим образом.
Как обойти скуд на работе

- Как обмануть биометрию радужной оболочки глаза? Оказывается, в большинстве случаев достаточно хорошего фотоаппарата с линзой не менее 200 мм. Как правило, сканеры успешно считывают такие фото.
- Ещё один вариант обмана сканера сетчатки – заказать контактные линзы с нужным рисунком радужной оболочки.
- Видеоконтроль можно обмануть с использованием DEEP FAKE. Применение технологий глубокого машинного обучения позволяет создавать видео, демонстрация которых обманывает сканер, заставляя его воспринимать видеоряд как реальность.
- Также контроль по сканированию лица можно обмануть с помощью 3D-маски. Учитывая, что профессиональные фотоаппараты (впрочем, как и 3D-сканеры) и 3D-принтеры редкостью не являются, сделать маску не слишком сложно.
- Можно запустить любую рабочую программу и приклеить или привязать к мышке любую детскую игрушку, чтобы мышь регулярно двигалась.
- Можно запустить Word, 1C или Excel, минимизировать размеры окна приложения, а дальше включить кино или заниматься чем-то другим, бездельничая.
- Можно купить или написать скрипт или ПО для имитации деятельности, и ничего не делать.
- Установка FakeGPS или другого ПО, имитирующего координаты GPS. Можно оставаться дома, а программа будет исправно отсылать данные об активном передвижении.
- Установка на устройство вирусного ПО, что позволяет избавиться от контроля вследствие утраты работоспособности смартфона или планшета.
- Принудительный разряд батареи смартфона – тоже помогает отключить контроль.
Как обмануть программу мониторинга сотрудников Kickidler?
- В отличие от обычных тайм-трекеров и других СУРВ в Kickidler есть функция записи видео с экранов ПК сотрудников. При возникновении подозрений, что работник занимался чем-то другим, можно просто посмотреть, что он делал в интересующее время.
- В Kickidler есть функция просмотра экрана ПК сотрудника в режиме онлайн. Руководитель может в реальном времени посмотреть, занимается ли работник делом, или смотрит кино.
- В Kickidler есть система автоуведомлений «Автокик» для сотрудников, настраиваемых в обширном диапазоне. Система будет сама предупреждать о нарушениях. Будь то – посещение запрещённого сайта, сидение в соцсетях, длительное бездействие. Также есть наработки по обнаружению работы скриптов, имитирующих бурную деятельность. Например, непрерывная активность в одном и том же приложении в течение 30 минут – это подозрительно, но вручную отслеживать такие аномалии невозможно. А Kickidler способен проводить постоянный мониторинг по любым заданным критериям.

WARNING
- Двенадцать из двадцати пяти СКУД-решений имели такой недостаток. Это APACS 3000, ENT Контроль, KODOS, LyriX, Сфинкс, Castle, Elsys BASTION, Tempo Reale, АВАНГАРД, КРОНВЕРК Реверс, Стражъ, Электра-АС.
- В остальных протестированных СКУД такой особенности, к счастью, не было выявлено. Это Шэлт ПРО, БИТ, Gate, Golden Gate 2002, ParsecNET, Perco, QUEST II, RusGuard, Smartec-Timex, Biosmart, ITV-Интеллект, Болид-ОРИОН ПРО, Сторк.
Найти FireBird

Другие статьи в выпуске: 
Xakep #206. Ключ от всех дверей
Подключиться к Firebird
Рис. 2. Примеры путей к файлам баз данных для различных СКУД
Рис. 3. Подключение к БД