在移動(dòng)浪潮的早期階段，如今被認(rèn)為迫在眉睫的威脅(惡意軟件、網(wǎng)絡(luò)釣魚和不法分子濫用設(shè)備)當(dāng)時(shí)常常僅限于理論上，果真影響企業(yè)的可能性很小。盡管這些威脅變得更加“切實(shí)”，但量化風(fēng)險(xiǎn)、證明有必要投入開支以防范這些風(fēng)險(xiǎn)還是一大挑戰(zhàn)。

因而，市面上銷售的大多數(shù)移動(dòng)安全軟件仍然是為了防范可能會(huì)給企業(yè)帶來災(zāi)難性影響的單次事件，被認(rèn)為是企業(yè)經(jīng)營成本的一部分。

與這種想法相反的是，移動(dòng)欺詐不是一次“重大的壞事件”，而是一連串比較小的日常破壞活動(dòng)，它們常常難以察覺。要是不加以解決，這些多重攻擊就會(huì)給企業(yè)帶來嚴(yán)重的累積影響。

如果企業(yè)奉行重大的壞事件理念，使用傳統(tǒng)的移動(dòng)企業(yè)安全解決方案，結(jié)果會(huì)忽視哪些方面?我認(rèn)為這三大方面令人擔(dān)憂：

首先，欺詐最先出現(xiàn)在你無法控制的系統(tǒng)上。

企業(yè)安全對允許訪問公司系統(tǒng)的設(shè)備擁有一定程度的控制。BYOD計(jì)劃利用移動(dòng)設(shè)備管理(MDM)解決方案等工具，控制設(shè)備的安全狀況。如果在B2C環(huán)境下處理客戶那些“未加管理的設(shè)備”，獲得這種程度的控制就要難得多，有時(shí)不可能實(shí)現(xiàn)。

雖然IT安全部門擅長保護(hù)端點(diǎn)設(shè)備、服務(wù)器和數(shù)據(jù)庫之類的企業(yè)資產(chǎn)，但面臨這一難題：保護(hù)并不由企業(yè)控制的資產(chǎn)，具體來說是客戶的設(shè)備。從某種意義上來說，這正是最初的“BYOD”問題――保護(hù)用戶的訪問和交易/事務(wù)，而不控制底層設(shè)備。

教育用戶懂得保護(hù)自己的工作成效不大：人性敵不過社會(huì)工程學(xué)伎倆和暫時(shí)的判斷失誤。用戶有時(shí)候破解移動(dòng)設(shè)備或獲得root權(quán)限，以安裝未授權(quán)應(yīng)用程序。被破解或獲得root權(quán)限的設(shè)備很容易中惡意軟件的招，惡意軟件會(huì)接管重要的設(shè)備功能，比如短信(SMS);可能被用于強(qiáng)驗(yàn)證;可能導(dǎo)致登錄信息失竊和經(jīng)濟(jì)損失。又由于移動(dòng)設(shè)備的屏幕尺寸有限，用戶常常很難識別嵌入在電子郵件中虛假的網(wǎng)絡(luò)釣魚URL。

其次，欺詐管理是一種高頻率/高摩擦活動(dòng)。

美國商家每年因信用卡欺詐蒙受的損失高達(dá)約1900億美元。如果欺詐性交易進(jìn)入企業(yè)系統(tǒng)，會(huì)觸發(fā)商家采取一系列行動(dòng)，面對受影響的有關(guān)方(客戶、合作伙伴或供應(yīng)商)，商家需要采取這些行動(dòng)。支持團(tuán)隊(duì)參與進(jìn)來，負(fù)責(zé)處理與欺詐受害者之間的互動(dòng)。分析和調(diào)查人員需要審查取證數(shù)據(jù)，查明發(fā)生的情況、資金流向，力圖及早挽回?fù)p失。恢復(fù)“照常營業(yè)”常常需要受害者投入時(shí)間和精力，證明自己的系統(tǒng)很安全。如果你考慮到這些欺詐案的發(fā)生非常頻繁，這會(huì)導(dǎo)致與有關(guān)方進(jìn)行極其重復(fù)、強(qiáng)度極大的互動(dòng)。

相比之下，如果我們談?wù)撈髽I(yè)自有系統(tǒng)里面的安全，只有導(dǎo)致數(shù)據(jù)丟失的實(shí)際泄密事件(相對很少發(fā)生)才需要投入大量精力。比如說，據(jù)美國波耐蒙研究所(Ponemon Institute)聲稱，只有20%的數(shù)據(jù)泄密事件牽涉至少10000條記錄。

第三，欺詐暴露在世人面前。

遇到欺詐的客戶會(huì)對移動(dòng)渠道乃至整個(gè)企業(yè)失去信任。要是損失沒有由企業(yè)自動(dòng)填補(bǔ)(如果企業(yè)銀行帳戶泄密，就是這種情況)，訴訟就會(huì)接踵而來，從而給品牌造成負(fù)面影響。即便事件范圍比較小，那些不開心的客戶也會(huì)在社交網(wǎng)絡(luò)上吐槽欺詐事件，這最終會(huì)導(dǎo)致客戶流失。另外，欺詐性活動(dòng)會(huì)引來監(jiān)管部門對程序和過程進(jìn)行更嚴(yán)格的審查，這進(jìn)一步分走了業(yè)務(wù)部門和IT部門的資源。除非作為一項(xiàng)監(jiān)管或合規(guī)要求，丟失的數(shù)據(jù)需要披露，否則一些企業(yè)安全泄密事件可能不會(huì)公之于眾。因而，許多泄密事件并沒有披露出來。

移動(dòng)企業(yè)安全和移動(dòng)欺詐防范有著同樣的目標(biāo)：保護(hù)敏感的企業(yè)資產(chǎn)和機(jī)密的客戶信息。遺憾的是，許多安全團(tuán)隊(duì)和企業(yè)組織仍把移動(dòng)安全和移動(dòng)欺詐防范視作是一個(gè)整體，卻沒有認(rèn)識到它們目前的戰(zhàn)略并沒有起到應(yīng)有的保護(hù)效果。確切地說，除了保護(hù)公司設(shè)備網(wǎng)絡(luò)里面的數(shù)據(jù)外，公司還有必要實(shí)施一項(xiàng)戰(zhàn)略，保護(hù)客戶遠(yuǎn)離惡意活動(dòng)。

英文：Deconstructing Mobile Fraud Risk