移動金融業務風控框架及裝置風險識別的意義(下)

2021-10-01 16:18:58 字數 2169 閱讀 1385

但隨著信貸業務渠道由實轉虛,客群逐步下沉,由此帶來了新的風控問題,欺詐成為線上個人信貸業務需要面對的主要風險。

因此如何應對移動金融業務中特有的新型風險,如何將其納入完整的企業風險管理框架,成為銀行開拓網際網路金融業務必須考慮的重點問題。而在gartnr提出的5個風險檢測層級中,第一層的終端風險識別,對於移動金融業務的欺詐風險檢測,具有特殊的意義,這是由移動金融業務的風險特點所決定的。

雖然傳統渠道金融業務面臨的操作風險,在移動渠道中也大多存在,但是移動渠道因其客戶媒介的差異和業務模式的差異,會有其特有的風險,這些風險和移動金融業務所使用的技術及裝置直接相關,主要表現在

- 業務風險暴**的變化

- 欺詐者攻擊手段的豐富

- 業務方技術準備的不足

- 移動使用者安全意識相對於現實的落後 

針對移動技術的應用所引發的新型風險,ffiec在2023年6月,從移動金融服務的業務特點、技術特點出發,對美國的金融機構提出了明確的指導意見。

(美國聯邦金融機構檢查委員會,ffiec全稱the federalfinancial institutions examination council,成立於2023年,作為銀行業監管機構的協調機構,主要職責是協調統一各個負責監管銀行機構的聯邦監管部門的監管檢查原則、標準和報告格式。)

該報告明確指出,由於移動金融服務引入了一系列的新技術,包括短訊息服務、移動**(html5)、移動應用、無線支付技術(包括nfc,qr code,運營商代扣,點對點支付等),因此也隨之而來一系列新的操作風險。

1. 短訊息:短訊息通過乙個非加密的空口傳輸,容易被劫持,從而允許未授權者可以給客戶傳送虛假簡訊,引導客戶向其提供敏感的金融資訊,甚至是帳戶及密碼;

2. 移動**:其底層基礎設施與pc端網上銀行相同,因此會受到pc網上銀行相同的攻擊手段攻擊,但是受限於移動裝置的硬體資源及作業系統,移動端瀏覽器往往並沒有防釣魚或防跨站指令碼攻擊能力;由於移動終端螢幕尺寸限制,移動網頁展示資訊有限,也會影響使用者對網頁是否安全的判斷能力;

3. 移動應用的風險

3.1 移動應用具有複雜的生態系統,包括無線運營商、寬頻網路、作業系統廠商、手機廠商、應用開發者、應用商店、推廣渠道等終端的環節支撐了移動應用,由於生態系統的複雜性,對於使用者裝置的識別與追蹤非常困難,並且生態系統中的任何乙個環節都有可能被攻擊,從而給使用者或服務機構帶來損失;

3.3 越獄/root風險,雖然近年來普通使用者主動越獄或root的佔比逐漸降低,但是由於越獄/root後,應用能夠獲取重要的系統許可權,對系統和應用的安全性仍然是乙個巨大的風險;

3.4 移動裝置具有很強的個人屬性,通常儲存了使用者大量的個人資訊,例如**號碼、住址、郵件位址、帳戶/密碼、地理位置、購物習慣等,若沒有良好的安全措施,黑客很容易獲取使用者隱私資料;

3.5 移動裝置的便攜性,造成裝置容易被盜。一旦被盜,盜竊者便有機會使用原使用者的手機錢包進行支付或轉賬;近場支付(nfc)或掃碼支付也存在其特有的風險;

如果我們把移動金融業務中的欺詐看作一種犯罪,那麼發起業務請求的裝置,則是犯罪的第一現場,只有充分、準確地採集業務第一現場的資訊,才有可能建立起有效的資料集,為其他4個層級的欺詐檢測提供有力的支撐,才能對客戶行為模式進行有效的學習,才能對可以客戶的行為異常做出準確的判斷,才能夠更準確的對業務對手方的意圖進行判斷,防患於未然。 

對於移動金融業務終端層級的風險檢測,形成了一套完整方案,從不同的角度對業務欺詐風險進行實時檢測。具體技術包括:

2. 破解越獄風險:越獄或破解作業系統,是高危裝置的典型特徵,主動對其進行檢測,能夠過濾高危交易請求;

3. 模擬器檢測:模擬器能夠給欺詐者提供低成本批量操作能力,因此也是終端風險監測中的重要一環;

4. 地理位置核實:使用者真實所處的地理位置與宣告的地理位置之間的差異性;

5. **檢測:通常欺詐者會使用**伺服器來隱藏自己所處的真實位置或者真實ip,避免被進一步追蹤;

移動網際網路深刻地改變了人類的日常生活和消費行為,各類業務都逐漸向移動網際網路轉移,剛剛過去的2023年雙11全民購物節,移動終端成交佔比已經從2023年的15.3%上公升到90%,「移動優先」已經不再是乙個戰略選擇題,現實是企業已經生存在「移動為王」的時代。

移動網際網路成為業務執行必不可少的渠道,對於移動端的業務風險的關注已經提公升到前所未有的高度,市場上不斷出現新的技術服務幫助企業應對移動端的風險,在面對欺詐時,企業需要結合多種終端風險檢測技術,才有可能於蛛絲馬跡中發現欺詐者,提公升欺詐的成本,在「魔高一尺,道高一丈」的對抗中佔得先機。

金融風控01 風控業務解析

入門資料推薦 補充資料採集會涉及到埋點和爬蟲。反欺詐引擎 模型 無標籤 反欺詐引擎主要包括兩個部分,反欺詐規則 主要 和反欺詐模型。傳統的監督模型較少的使用到,主要涉及到無監督演算法 社交網路演算法 深度學習 異常檢測 知識圖譜。規則引擎 策略 主要通過資料分析 挖掘手段以及一些監督 無監督演算法,...

解讀 信貸業務風控逾期指標及風控模型評估指標

一 網際網路金融中需要關注的風控逾期指標 1.逾期天數 dpd days past due 自應還日次日起到實還日期間的日期數 舉例 dpdn 表示逾期天數 n天,如dpd30 表逾期天數 30天的合同 2.逾期期數 自應還日次日起到實還日期間的日期數 舉例 正常資產用c表示 mn表示逾期n期 m1...

採用 信貸業務風控逾期指標及風控模型評估指標

一 網際網路金融中需要關注的風控逾期指標 1.逾期天數 dpd days past due 自應還日次日起到實還日期間的日期數 舉例 dpdn 表示逾期天數 n天,如dpd30 表逾期天數 30天的合同 2.逾期期數 自應還日次日起到實還日期間的日期數 舉例 正常資產用c表示 mn表示逾期n期 m1...