移动金融业务风控框架及设备风险识别的意义(下)
随着移动金融业务的广泛开展,金融行业面临的业务风险也发生了巨大的变化,传统个人信贷业务发生在线下渠道,加上业务流程的设计,主要是解决信用风险的问题。
但随着信贷业务渠道由实转虚,客群逐步下沉,由此带来了新的风控问题,欺诈成为线上个人信贷业务需要面对的主要风险。
因此如何应对移动金融业务中特有的新型风险,如何将其纳入完整的企业风险管理框架,成为银行开拓互联网金融业务必须考虑的重点问题。而在Gartnr提出的5个风险检测层级中,第一层的终端风险识别,对于移动金融业务的欺诈风险检测,具有特殊的意义,这是由移动金融业务的风险特点所决定的。
虽然传统渠道金融业务面临的操作风险,在移动渠道中也大多存在,但是移动渠道因其客户媒介的差异和业务模式的差异,会有其特有的风险,这些风险和移动金融业务所使用的技术及设备直接相关,主要表现在
- 业务风险暴露点的变化
- 欺诈者攻击手段的丰富
- 业务方技术准备的不足
- 移动用户安全意识相对于现实的落后
针对移动技术的应用所引发的新型风险,FFIEC在2016年6月,从移动金融服务的业务特点、技术特点出发,对美国的金融机构提出了明确的指导意见。
(美国联邦金融机构检查委员会,FFIEC全称The FederalFinancial Institutions Examination Council,http://www.ffiec.gov,成立于1979年,作为银行业监管机构的协调机构,主要职责是协调统一各个负责监管银行机构的联邦监管部门的监管检查原则、标准和报告格式。)
该报告明确指出,由于移动金融服务引入了一系列的新技术,包括短消息服务、移动网站(HTML5)、移动应用、无线支付技术(包括NFC,QR code,运营商代扣,点对点支付等),因此也随之而来一系列新的操作风险。
1. 短消息:短消息通过一个非加密的空口传输,容易被劫持,从而允许未授权者可以给客户发送虚假短信,引导客户向其提供敏感的金融信息,甚至是帐户及密码;
2. 移动网站:其底层基础设施与PC端网上银行相同,因此会受到PC网上银行相同的攻击手段攻击,但是受限于移动设备的硬件资源及操作系统,移动端浏览器往往并没有防钓鱼或防跨站脚本攻击能力;由于移动终端屏幕尺寸限制,移动网页展示信息有限,也会影响用户对网页是否安全的判断能力;
3. 移动应用的风险
3.1 移动应用具有复杂的生态系统,包括无线运营商、宽带网络、操作系统厂商、手机厂商、应用开发者、应用商店、推广渠道等终端的环节支撑了移动应用,由于生态系统的复杂性,对于用户设备的识别与追踪非常困难,并且生态系统中的任何一个环节都有可能被攻击,从而给用户或服务机构带来损失;
3.2 移动应用来源复杂,特别是安卓系统,用户可能在未经金融服务机构认证的应用商店或网站下载应用,这些来源的应用有很大的风险已被欺诈分子注入木马程序,并且被进一步用来窃取用户隐私信息;
3.3 越狱/Root风险,虽然近年来普通用户主动越狱或Root的占比逐渐降低,但是由于越狱/Root后,应用能够获取重要的系统权限,对系统和应用的安全性仍然是一个巨大的风险;
3.4 移动设备具有很强的个人属性,通常存储了用户大量的个人信息,例如电话号码、住址、邮件地址、帐户/密码、地理位置、购物习惯等,若没有良好的安全措施,黑客很容易获取用户隐私数据;
3.5 移动设备的便携性,造成设备容易被盗。一旦被盗,盗窃者便有机会使用原用户的手机钱包进行支付或转账;近场支付(NFC)或扫码支付也存在其特有的风险;
如果我们把移动金融业务中的欺诈看作一种犯罪,那么发起业务请求的设备,则是犯罪的第一现场,只有充分、准确地采集业务第一现场的信息,才有可能建立起有效的数据集,为其他4个层级的欺诈检测提供有力的支撑,才能对客户行为模式进行有效的学习,才能对可以客户的行为异常做出准确的判断,才能够更准确的对业务对手方的意图进行判断,防患于未然。
对于移动金融业务终端层级的风险检测,形成了一套完整方案,从不同的角度对业务欺诈风险进行实时检测。具体技术包括:
1. 设备指纹:通过采集设备特征、网络特征,对设备进行准确识别,并且能够打通H5页面与原生App之间的设备识别障碍,为各类用户行为分析、统计模型、专家规则提供可信的底层数据集;
2. 破解越狱风险:越狱或破解操作系统,是高危设备的典型特征,主动对其进行检测,能够过滤高危交易请求;
3. 模拟器检测:模拟器能够给欺诈者提供低成本批量操作能力,因此也是终端风险监测中的重要一环;
4. 地理位置核实:用户真实所处的地理位置与声明的地理位置之间的差异性;
5. 代理检测:通常欺诈者会使用代理服务器来隐藏自己所处的真实位置或者真实IP,避免被进一步追踪;
6. IP地址风险:有些欺诈者会通过特殊渠道获取大量的IP,用来伪装自己真实地理位置或身份,而这些IP会有一定规律可循,例如来自于特定地区、特殊运营商或特定IDC机房;
移动互联网深刻地改变了人类的日常生活和消费行为,各类业务都逐渐向移动互联网转移,刚刚过去的2017年双11全民购物节,移动终端成交占比已经从2013年的15.3%上升到90%,“移动优先”已经不再是一个战略选择题,现实是企业已经生存在“移动为王”的时代。
移动互联网成为业务运行必不可少的渠道,对于移动端的业务风险的关注已经提升到前所未有的高度,市场上不断出现新的技术服务帮助企业应对移动端的风险,在面对欺诈时,企业需要结合多种终端风险检测技术,才有可能于蛛丝马迹中发现欺诈者,提升欺诈的成本,在“魔高一尺,道高一丈”的对抗中占得先机。
移动金融业务风控框架及设备风险识别的意义(下)相关推荐
- 移动金融业务风控框架及设备风险识别的意义(上)
移动金融服务(MFS)指传统金融机构通过移动设备为客户提供的产品或服务.移动渠道给金融机构带来了新的机会,使其可以最大限度的获取新客户,并且降低运营成本. 在中国市场,5年前的O2O泡沫完成了移动支付 ...
- 基于金融知识图谱的会计欺诈风险识别方法
点击上方蓝字关注我们 基于金融知识图谱的会计欺诈风险识别方法 陈强1, 代仕娅2 1 兴业银行信息科技部,上海 201201 2 蚂蚁科技国际事业群数据算法技术部,上海 200120 摘要:针对商业银 ...
- 【风险管理】金融业务风控相关框架
文章目录 1.信贷核心业务流程 2.信贷生命周期之风险管理 3.理想风控数据体系 4.风控决策系统 5.风控策略开发流程 6.金融产品一站式解决方案 7.大数据风控系统技术框架 1.信贷核心业务流程 ...
- 【采用】【风险管理】金融业务风控相关框架(宝藏)
文章目录 1.信贷核心业务流程 2.信贷生命周期之风险管理 3.理想风控数据体系 4.风控决策系统 5.风控策略开发流程 6.金融产品一站式解决方案 7.大数据风控系统技术框架 1.信贷核心业务流程 ...
- 互联网业务安全之通用安全风险模型
业务安全从流程设计维度可划分为账户体系安全.交易体系安全.支付体系安全.用户信息存储安全.后者对普通用户而言基本属于透明状态,对于电商/互联网金融/社交媒体更多面临的业务安全风险集中在账户/交易/支付 ...
- 供应链金融业务实施路径深度解析
当前,在经济全球化.数字化.网络化发展越来越明显背景下,企业核心竞争已由个体上升至供应链乃至整个产业生态链的竞争,共建健康的产业生态已成全产业链发展的共识,同时也得到了各个国家的高度认同. 中国甚至提 ...
- php实现防垃圾手机号注册功能(接入阿里云风险识别)
使用场景介绍 本司的使用场景是:做营销活动,邀请新用户得某某实物,这时候会有用户使用接码平台,利用国内或国外手机号进行注册,默认是黑号,所以要进行拦截,由此调研,确定使用阿里云的风险识别 阿里云风险识 ...
- 让黑产无处遁形 京东云推出风险识别服务
第45次<中国互联网络发展状况统计报告>显示,截至2020年3月,我国网民规模为9.04亿,互联网普及率达64.5%,网络购物用户规模达7.10亿.如此庞大的网民构成了中国蓬勃发展的消费市 ...
- 大数据风控---消费金融业务全流程风险解析
前言 在消金企业里,最核心的运作部门主要是营销.风控以及产品.营销和风控:两者既对立又互相依赖,若没有足够的客户,风控便无法发挥作用,而有了坚实的风控后盾,才能可持续的拓展业务并维护下去.而产品部门则 ...
最新文章
- 20165219 预备作业3 Linux安装及学习
- Oh-My-Zsh 操作 Git 的快捷键
- 中国移动系统集成公司2020春招技术综合在线编程题第二题
- oc51--循环retain
- jpa初学 hibernate学习
- chrome windows安装包_谷歌团队揭示了零日Windows漏洞
- 使用COMSOL提取指定时刻固体火箭发动机内的流体域(观点)
- 软件测试——selenium环境搭建及自动化测试
- C语言 哲学家就餐问题
- 【006】- Django模型数据操作(二)
- numpy数据升维与降维
- 裸辞4个月,面试了30家公司,终于找到了理想的工作
- 如何打开ESRI ArcGIS的LPK文件(layer package)
- 程代展老师的感悟(前传)
- 在javascript中使用java_在JavaScript中使用Java
- AI医药论文笔记--Deep learning improves prediction of drug–drug and drug–food interactions
- 电脑没有ps怎么改照片dpi?怎么改照片dpi为300?
- OGC标准介绍 17
- EGO1—实现拨码开关控制数码管显示数值
- 数字农业 WMS 库存操作重构及思考