移動金融風險防控思考與實踐
近年來,移動金融發展迅速,新業態、新模式層出不窮。用戶通過智能手機終端進行投資理財、消費借貸、交易支付等金融業務操作,大大提升了金融業務的便捷性。各大商業銀行也都推出了手機銀行、直銷銀行、微信銀行等多元化移動金融渠道。用戶金融交易習慣已經徹底改變,個人客戶移動金融交易頻次和交易規模已經遠超過網上銀行等交易渠道,其中手機銀行APP已經是銀行對個人金融服務滲透率排名第一的渠道。
然而隨著移動金融的快速普及,手機銀行等移動金融APP已被作為攻擊的重要目標。不法分子通過非法途徑獲取個人信息、篡改手機信息仿冒設備、利用系統漏洞和攻擊框架工具、機器自動化操作等手段實施攻擊行為,并開始產業鏈化協作,給銀行移動金融風險防控帶來巨大挑戰。
華夏銀行在移動金融風險防控體系建設過程中,非常重視移動端安全技術能力建設和創新應用,持續在基于移動設備安全風控和反欺詐方面進行建設規劃和應用實踐。
終端安全反欺詐風險防控思考
1.技術風控與業務風控融合。商業銀行的業務風控反欺詐體系建設是一個系統工程,是一個持續建設和不斷優化的過程。一方面,新的互聯網金融業務開展帶來對風控技術能力的完善要求;另一方面,行業的監管也要求金融機構具備移動金融反欺詐風控能力。在具體的業務安全能力建設過程中,比如移動終端威脅感知能力建設,不能僅僅作為孤立的安全能力,還需要將安全技術能力融合到業務風險防控場景中。
2.終端安全檢測能力下沉。當前大部分商業銀行已經建設基于大數據流式分析技術的實時反欺詐風控系統,面向信貸、交易、營銷等提供反欺詐服務。其中的核心組件智能決策引擎是基于數據實時規則計算和模型計算,所以對于決策引擎風險評估的準確性很大程度取決于進入模型的數據源準確性。數據源主要包括終端安全特征數據、業務流水數據、威脅情報數據,這其中終端安全特征數據是最容易被偽造和篡改的,所以要將安全檢測能力下沉到移動終端軟件、硬件、環境、行為等多個維度。
通過在移動金融應用APP中植入一體化威脅感知SDK探針,采集移動設備特征、傳感器特征、環境威脅特征、攻擊行為特征等多維度數據,結合后端大數據分析平臺威脅分析模型,計算出目標移動設備、目標APP的安全威脅類型及威脅指數。
3.如何對抗自動化機器操作。在移動金融反欺詐業務場景風險防控過程中,很關鍵的環節是能否第一時間識別黑產工具自動化操作和黑產技術應用,進而結合設備指紋技術、生物探針行為模型等,進一步輔助分析判斷設備的操作者是否終端經常使用者。我們通過研究移動終端攻擊者的攻擊思維和方法,反向對抗黑產攻擊關鍵技術點和路徑,關鍵技術點包括:設備唯一性識別、黑產工具識別、IP和號碼畫像及風險分析、地理位置及歸屬地、行為序列與行為模式識別、關聯圖譜分析等。
關 鍵 技 術 應 用
1.高強度設備指紋ID技術。自PC時代起,設備指紋技術就是互聯網用戶和終端追蹤的重要手段。目前常規移動設備指紋ID技術,一般使用手機號、IMEI、IP、基站、位置、MAC地址等一些固定特征值來標識一臺移動設備。然而攻擊者已經熟練使用模擬器等工具修改移動設備串號等特征,比較容易在移動金融業務認證和交易等關鍵風控環節繞過銀行的設備認證和設備綁定機制,從而造成終端維度特征交易風控規則失效。
我行采用主動特征采集和被動特征采集混合式設備指紋技術,集合兩種技術方式的優點,可以保證APP和H5應用移動設備指紋值的穩定性和準確性。同時,應用新一代基于相似度模型算法,通過對數據的有效訓練,摒棄傳統規則方法偏見和不穩定性,有效降低設備指紋沖突率小于0.01%和漂移率小于0.01%。另外,在準確識別設備的同時也擴大了設備指紋技術的應用范圍,在移動金融業務認證和交易關鍵環節,保證是金融業務開通的賬號對應綁定的終端設備在使用金融業務,避免設備綁定失效和設備標識風控場景效率下降。
2.生物探針技術。當前移動金融APP在用戶隱私收集和保護方面越來越完善,如何在滿足隱私保護法律法規要求的前提下,在不涉及用戶隱私數據的情況下,準確識別終端行為、識別認證用戶操作行為是行業內一直在研究和嘗試解決的問題。我行積極研究生物探針技術模型的應用,通過人機檢測模型識別操作金融業務的設備是真實的設備,操作業務是真實用戶而不是自動化軟件腳本工具;通過機主識別模型,輔助識別操作業務的行為特征判斷(如圖所示)是否為經常使用這部終端設備用戶本人。
圖 不同用戶觸屏行為特征
通過生物探針技術,采集用戶使用移動金融APP時的傳感器數據和屏幕軌跡數據等,包括加速度計、陀螺儀、重力加速度計、磁場傳感器等,通過大數據機器學習智能行為序列分析模型檢測是用戶操作還是軟件機器人操作。
生物探針模型技術應用可以更好地為客戶行為習慣進行畫像分析,對行為認證和異常行為識別。該技術主要應用在用戶首次注冊移動金融APP時判斷是否是機器自動化惡意注冊攻擊,在登錄環節判斷是不是批量操作登錄等,可以有效解決惡意注冊、惡意開戶和營銷薅羊毛等風險場景問題,有效識別和對抗黑灰產自動化工具的攻擊,實現無感行為認證。
3.終端威脅感知分析技術。采用移動終端一體化威脅檢測技術,通過一次SDK集成,采集移動終端多維度威脅特征和環境風險狀態。主要檢測內容包括模擬器、調試行為、注入攻擊、設備復用、程序外掛、木馬病毒、異常加速、APP線程級威脅、APP內置SDK風險等。通過可視化分析技術將檢測的威脅和風險信息進行關聯分析,針對安全事件、威脅、環境風險進行綜合感知分析。
安卓模擬器基于虛擬化技術實現。常規的模擬器識別技術,僅收集現有模擬器的特征(從安卓框架層、系統屬性、系統文件等位置提取),匹配到模擬器特征則判斷是否運行在模擬器環境。但是有些開源模擬器支持深度定制,攻擊者完全可以修改掉這些顯性特征。我行應用模擬器識別算法,從模擬器的本質入手,無論是完全虛擬化、系統虛擬化,還是容器技術,通過特有的虛擬化感知技術,可以準確識別模擬器。
常規的攻擊/修改框架是通過注入技術實現,如基于ptrace的Frida框架、基于虛擬機注入的xposed框架等。我行在識別主流攻擊/修改框架特征的同時,通過總結和學習注入的攻擊路徑特征,在關鍵路徑設置檢測點,從而實現對新型攻擊框架的識別。
通過應用威脅感知技術,可以從設備類型、地域、系統版本、應用版本、時間,威脅類型等維度對威脅進行篩選統計,對威脅進行地域、設備、系統、應用排行。針對單個設備的威脅事件提供攻擊鏈展現和分析,可以明晰地看到單個設備歷史的安全威脅發生狀況,利用攻擊鏈行為進行事后攻擊追溯。
實 踐 和 展 望
1.應用實踐情況。終端安全反欺詐技術目前已經在我行的移動金融服務渠道全面推廣使用,包括手機銀行5.0、企業手機銀行、直銷銀行等。其中移動設備風險配置識別率98%以上、移動設備攻擊發現率95%以上、異常交易自適應認證驗證率90%以上。同時,構建完善的華夏銀行移動金融風險防控“1+2+4+N”矩陣架構,包括:“1”個一體化移動終端信息特征采集SDK、“2”個風險決策引擎、“4”個模塊化技術服務中心(移動終端態勢感知、智能決策中心、智能處置中心、人工智能機器學習建模中心)、“N”個移動金融風險防控場景,有效提升移動金融風險防控能力。
展 望
終端安全反欺詐技術是移動金融風險防控體系的重要組成部分,是全鏈路智能風控的第一道關卡,也是與不法分子技術對抗的前沿陣地。移動金融業務安全風險是持續和動態的,為了應對嚴峻復雜的外部欺詐環境,需要更多技術研究和實踐應用。
我行始終堅持風險防控創造價值的管理理念,積極嘗試新技術在反欺詐風控場景下應用,加強移動金融風險的精準識別,做到早預警、快處置,使移動金融反欺詐平臺更專業化、智能化。
