移动金融业务风控框架及设备风险识别的意义

移动金融服务（ MFS ）指传统金融机构通过移动设备为客户提供的产品或服务。移动渠道给金融机构带来了新的机会，使其可以最大限度的获取新客户，并且降低运营成本。

在中国市场， 5 年前的 O2O 泡沫完成了移动支付的习惯培养，基本消除了普通用户对于在移动终端上进行金融业务操作的心理障碍以及技术障碍，支付成为一项已被普遍接受的移动金融业务。

近三年来，传统的金融“信贷”业务也逐步被移动金融服务所覆盖，但随之而来的业务风险，却不得不加以关注。

金融业务风险通常包括战略风险、市场风险、信用风险和操作风险。战略风险和市场风险是对公司远景规划，业务发展方向，市场趋势和利率、汇率、价格等经济因素的宏观研判，需要的是战略层面的决策和行动；而信用风险和操作风险，则更多的是具体到特定业务、特定交易的微观层面的风险判断，需要的是战术层面的行动和响应。

业务风险的管控是金融业的核心之一，银行更是需要一套完整的方法论，应对移动金融业务中特有的风险，从而建立起企业级风控能力，对业务运行中潜在的各类风险进行管控。

企业级风控系统对于风险的管控，通常可以分成几个阶段：

1. 风险识别

企业应当把识别移动金融服务特有的风险作为企业战略规划中的重要组成部分，应该从移动设备、金融产品、金融服务、以及技术等不同层面有机的结合，来识别移动金融业务中的风险项，将其纳入整体风控系统中统一考虑；

2. 风险评级

通常我们会区分关键业务（如支付、转账）和非关键业务（如注册、登录），对不同类型的业务点采用不同的风控强度方案。那么这意味着具有相同程度的欺诈风险出现时，由于对应的业务类型不同，企业对它的风险评级是不同的，关键业务需要更为严格的风险评级，而非关键业务则可以相对宽松。但是在业务发展的不同时期，这一标准可能又会做出相应的调整，因此在识别出潜在业务风险后，企业还应当有一套完整的风险衡量和评级方案；

3. 风险规避

风险评级完成后，则是对应的风险规避动作。例如人工审核、电话核实、短信二次验证、人脸识别等等各类操作手段，都是风控系统可以选择的，针对不同的风险等级而选择的相应风险规避动作；

在风险管理的几个阶段中，风险识别是后续管理流程的开端，并且由于业务从线下转至线上，对风险识别的实时性要求越来越高，因此线上业务的欺诈风险识别，我们通常称之在线欺诈检测（ OFD ： Online FraudDetection ），也越来越受到金融行业的重视。

Gartner 从 2010 年开始关注并研究这一领域，每年都会针对这个市场发布研报以及建议。在 2016 年 10 月发布的“线上欺诈检测市场研究报告”中，总结了该领域的主要需求以及解决方案供应商的特点，提出了分层级的自动欺诈检测的最佳实践。在这个建议中， Gartner 认为一个完整的线上业务欺诈检测系统，应该分为 5 个层级，分别是

1. 第一层 终端风险识别： 以终端为核心，分析交易发起终端（ PC ，移动设备等）的属性，并且这些分析的前提应当是，欺诈检测系统能够和终端直接发生交互，而不是通过其它中间系统。主要技术手段包括设备指纹、生物检测、木马检测、终端行为与地理位置检测等；

2. 第二层 交互行为监测 : 以帐户为核心，采集帐户与业务系统之间的交互行为或网络行为，实时采集并分析，学习用户行为模式，通过行为模式的对比，发现欺诈交易；

3. 第三层 渠道内行为异常检测 : 使用统计模型或规则系统，在单一渠道上针对某一特定用户，进行行为分析和异常检测。在这一层级，同时可能利用内、外部数据，针对高风险交易，共同进行身份验证；

4. 第四层 全方位行为异常检测 : 以用户为核心，跨渠道、跨产品的，对用户行为进行监控和分析，对高风险异常行为进行预警。例如全方位采集某个用户在信用卡、手机银行、网上银行、 ATM 机、 POS 机等各个渠道上的交易行为数据，集中分析，实现全渠道的风控；

5. 第五层 UEBA: 基于大数据的 UEBA （ User andEntity Behavior Analytics ），通过全面的数据采集与数据治理，在不同的属性上对用户或实体之间的关系进行关联分析，发现潜在的欺诈风险；

目前市场上的解决方案供应商，通常会专注在其中一层或几层中的某些技术手段为核心，为业务方提供产品，解决特定领域的问题。而业务方也应当根据业务发展阶段、所面临的主要风险、自身技术能力等多种因素，有选择的逐步将自身的反欺诈能力从单一层级扩展成为多层级能力。

随着移动金融业务的广泛开展，金融行业面临的业务风险也发生了巨大的变化，传统个人信贷业务发生在线下渠道，加上业务流程的设计，主要是解决信用风险的问题。 但随着信贷业务渠道由实转虚，客群逐步下沉，由此带来了新的风控问题，欺诈成为线上个人信贷业务需要面对的主要风险。 因此如何应对移动金融业务中特有的新型风险，如何将其纳入完整的企业风险管理框架，成为银行开拓互联网金融业务必须考虑的重点问题。

而在 Gartner 提出的 5 个风险检测层级中，第一层的终端风险识别，对于移动金融业务的欺诈风险检测，具有特殊的意义，这是由移动金融业务的风险特点所决定的。虽然传统渠道金融业务面临的操作风险，在移动渠道中也大多存在，但是移动渠道因其客户媒介的差异和业务模式的差异，会有其特有的风险，这些风险和移动金融业务所使用的技术及设备直接相关，主要表现在

- 业务风险暴露点的变化

- 欺诈者攻击手段的丰富

- 业务方技术准备的不足

- 移动用户安全意识相对于现实的落后

针对移动技术的应用所引发的新型风险， FFIEC 在 2016 年 6 月，从移动金融服务的业务特点、技术特点出发，对美国的金融机构提出了明确的指导意见。

（美国联邦金融机构检查委员会， FFIEC 全称 The FederalFinancial Institutions Examination Council ， http://www.ffiec.gov ，成立于 1979 年，作为银行业监管机构的协调机构，主要职责是协调统一各个负责监管银行机构的联邦监管部门的监管检查原则、标准和报告格式。）

该报告明确指出， 由于移动金融服务引入了一系列的新技术，包括短消息服务、移动网站（ HTML5 ）、移动应用、无线支付技术（包括 NFC ， QR code ，运营商代扣，点对点支付等），因此也随之而来一系列新的操作风险。

1. 短消息： 短消息通过一个非加密的空口传输，容易被劫持，从而允许未授权者可以给客户发送虚假短信，引导客户向其提供敏感的金融信息，甚至是帐户及密码；

2. 移动网站： 其底层基础设施与 PC 端网上银行相同，因此会受到 PC 网上银行相同的攻击手段攻击，但是受限于移动设备的硬件资源及操作系统，移动端浏览器往往并没有防钓鱼或防跨站脚本攻击能力；由于移动终端屏幕尺寸限制，移动网页展示信息有限，也会影响用户对网页是否安全的判断能力；

3. 移动应用的风险

3.1 移动应用具有复杂的生态系统， 包括无线运营商、宽带网络、操作系统厂商、手机厂商、应用开发者、应用商店、推广渠道等终端的环节支撑了移动应用，由于生态系统的复杂性，对于用户设备的识别与追踪非常困难，并且生态系统中的任何一个环节都有可能被攻击，从而给用户或服务机构带来损失；

3.2 移动应用来源复杂， 特别是安卓系统，用户可能在未经金融服务机构认证的应用商店或网站下载应用，这些来源的应用有很大的风险已被欺诈分子注入木马程序，并且被进一步用来窃取用户隐私信息；

3.3 越狱／ Root 风险， 虽然近年来普通用户主动越狱或 Root 的占比逐渐降低，但是由于越狱／ Root 后，应用能够获取重要的系统权限，对系统和应用的安全性仍然是一个巨大的风险；

3.4 移动设备具有很强的个人属性 ，通常存储了用户大量的个人信息，例如电话号码、住址、邮件地址、帐户／密码、地理位置、购物习惯等，若没有良好的安全措施，黑客很容易获取用户隐私数据；

3.5 移动设备的便携性，造成设备容易被盗。 一旦被盗，盗窃者便有机会使用原用户的手机钱包进行支付或转账；近场支付（ NFC ）或扫码支付也存在其特有的风险；

如果我们把移动金融业务中的欺诈看作一种犯罪，那么发起业务请求的设备，则是犯罪的第一现场，只有充分、准确地采集业务第一现场的信息，才有可能建立起有效的数据集，为其他