随着互联网+的发展,银行等传统金融机构互联网化、移动化的步伐加快,银行面临的风险与挑战与日俱增,资产负债率也日渐攀升。多头借贷、信用恶化、虚假申请信用卡、账号盗用、盗卡盗刷、垃圾注册、以及无处不在的网站和移动APP漏洞时刻威胁着银行的资金和业务安全。一旦银行系统被攻破,抑或是银行的业务漏洞被黑客利用,带来的损失都是难以估量的。结合国内银行业安全形势的综合分析,银行业面临的风险主要表现为以下三类:信用风险、欺诈风险和平台风险。
1 信用风险
2001年,安永国际会计公司对美国前100家大银行进行了为期一个多月的风险管理调查。调查报告显示,在调查期里,69%的银行衡量了操作风险,94%的银行衡量了市场风险,100%的银行都衡量了信用风险。由此可见,信用风险是银行业公认的最大的行业风险。
我国的情况也是如此。从法院公开审理的涉及金融的民事案件来看,在我国现行的借贷制度下,由于银行业与民间借贷信息不对称而发生的一房多押、资不抵债的案件颇多,银行坏账率也因此一直居高不下。
低信用借贷、多头负债和信用恶化是银行常见的信用风险。低信用的恶意用户利用银行微贷业务信息不畅通、银行业与民间借贷和网络借贷间信息不对称等问题,通过伪造财务数据在多类平台进行重复借贷等骗贷行为。
通付盾解决方案:
通过通付盾反欺诈平台对多维度权威数据的交叉核验和对申请材料的全面评估,实现贷前贷中实时监测,及时识别债务人的还款意愿,及时发现多平台借贷行为,提前甄别信用风险,并向银行发送预警通知。
2 欺诈风险
欺诈风险、平台风险、内部程序、人员和系统不足,在巴塞尔协议的定义中,都属于操作风险的范畴。在不少国际金融机构中,操作风险导致的损失已经明显大于市场风险和信用风险,成为对银行业业务安全的重要威胁。当前,我国正处于经济结构调整时期,制度环境尚待完善,人们求富的急切心态导致各种违规事件层出不穷,操作风险正成为我国金融机构面临的主要风险,而欺诈风险是操作风险中最大的风险类型。
A 撞库攻击/盗卡盗刷
日前,网上盛传一则通过补卡攻击盗刷银行卡的典型案例。不法分子利用网银账密以短信验证码作为唯一身份识别的漏洞,在非法取得普通用户的银行账号和密码后,可以轻易攻破银行现有的保护措施,进行资金转移。这种通过非法渠道获取银行账号和密码信息,然后进行撞库攻击的案例时有发生。
通付盾解决方案:
通付盾纵深多重账户防护体系,可以有效协助网上银行、手机银行平台及时发现卡片信息泄露、批量盗卡、异常交易等特征,识别和拒绝高危账户登录行为,及时阻断盗卡盗刷行为。
相较于银行体系现行的安全校验手段(如短信验证码、U盾等),通付盾纵深多重账户防护体系一方面规避了以手机短信作为持卡人唯一身份识别带来的安全隐患;另一方面,“准U盾级”的安全防护在不降低安全系数的同时,不再需要U盾等硬件设备,有效解决了硬件设备容易遗忘和不便携带的问题。
值得一提的是,对于正常交易客户,上述多重账户防护体系一直是“默默的保护”状态,并不增加客户操作难度,客户体验极佳;而在遇见账号盗用、盗卡盗刷时,就立刻切换到全副武装状态,启动多重防护,有效阻断异常登录和盗刷行为。
B 营销作弊
银行营销活动也是羊毛党泛滥的重灾区。2014年,某银行在营销活动第一天放出价值200万的奖品,刚上线几秒钟,就被全部兑换。本来是吸引用户的促销手段,结果成了黄牛的盛宴。
通付盾解决方案:
通付盾通过反欺诈平台高效实时识别羊毛党行为,达到限制羊毛党操作频率的目的。在不影响正常用户操作体验的前提下,有效降低薅羊毛事件的发生概率,帮助银行实现营销效果最大化。
C 虚假申请信用卡
恶意用户或网络黑中介通过各种渠道获取真实居民信息,通过银行信用卡网上、电话等渠道申请并激活信用卡,激活后进行恶意套现等违法行为,给银行和真实居民造成严重的资金和名誉损失。
通付盾解决方案:
在信用卡网络申请渠道和激活业务场景,通付盾反欺诈平台能够对申请用户的操作行为、提交的申请信息进行综合分析和预警,及时发现和阻止恶意申请行为,杜绝网络黑中介。
3 平台风险
平台风险是银行操作风险中非常重要的组成部分。随着操作风险对银行的安全威胁日益严重,网站漏洞、移动APP漏洞或业务流程漏洞等平台风险在整个银行的风控体系中的重要性越发受到重视。
据“乌云”漏洞报告平台数据显示,截至2016年6月,以“银行”为关键词报告的漏洞多达2154条,其中包括大量对银行网站和移动APP危害等级极高的系统漏洞、弱口令、SQL注入漏洞和命令执行漏洞,一旦漏洞被不法分子和黑客恶意攻击,很有可能会导致银行数据库数据(包括客户信息、银行卡信息、支付信息等敏感信息)全面泄漏。
通付盾解决方案:
A.应用检测:通过对移动应用进行全面审核与深入分析,发现应用中存在的潜在风险与漏洞。
B.应用加固:针对目前移动应用存在的各类安全隐患,通付盾率先提出完整的加固方案,防止移动应用被黑客破解。
C.渗透测试:模拟黑客攻击的方式对业务系统进行漏洞挖掘,评估漏洞影响力,验证漏洞扫描结果的有效性和安全策略的有效性;
D.风险评估:依据信息安全标准与行业规范,对信息系统进行全面评估,发现潜在的安全隐患,提出风险处置建议;
E.安全培训:为不同类型用户提供定制化培训课程,包括管理、技术、安全意识等方面,提高人员的信息安全防护能力。
事实上,通过与银行的深度合作,通付盾已经为交通银行、苏州银行、汉口银行等银行提供了移动应用安全检测、安全加固及信息安全培训等服务,全面保障银行移动交易平台的安全性,为银行和银行用户提供了安全的移动金融交易环境。
关键词: