在移動浪潮的早期階段，如今被認為迫在眉睫的威脅(惡意軟件、網絡釣魚和不法分子濫用設備)當時常常僅限于理論上，果真影響企業的可能性很小。盡管這些威脅變得更加“切實”，但量化風險、證明有必要投入開支以防范這些風險還是一大挑戰。

因而，市面上銷售的大多數移動安全軟件仍然是為了防范可能會給企業帶來災難性影響的單次事件，被認為是企業經營成本的一部分。

與這種想法相反的是，移動欺詐不是一次“重大的壞事件”，而是一連串比較小的日常破壞活動，它們常常難以察覺。要是不加以解決，這些多重攻擊就會給企業帶來嚴重的累積影響。

如果企業奉行重大的壞事件理念，使用傳統的移動企業安全解決方案，結果會忽視哪些方面?我認為這三大方面令人擔憂：

首先，欺詐最先出現在你無法控制的系統上。

企業安全對允許訪問公司系統的設備擁有一定程度的控制。BYOD計劃利用移動設備管理(MDM)解決方案等工具，控制設備的安全狀況。如果在B2C環境下處理客戶那些“未加管理的設備”，獲得這種程度的控制就要難得多，有時不可能實現。

雖然IT安全部門擅長保護端點設備、服務器和數據庫之類的企業資產，但面臨這一難題：保護并不由企業控制的資產，具體來說是客戶的設備。從某種意義上來說，這正是最初的“BYOD”問題――保護用戶的訪問和交易/事務，而不控制底層設備。

教育用戶懂得保護自己的工作成效不大：人性敵不過社會工程學伎倆和暫時的判斷失誤。用戶有時候破解移動設備或獲得root權限，以安裝未授權應用程序。被破解或獲得root權限的設備很容易中惡意軟件的招，惡意軟件會接管重要的設備功能，比如短信(SMS);可能被用于強驗證;可能導致登錄信息失竊和經濟損失。又由于移動設備的屏幕尺寸有限，用戶常常很難識別嵌入在電子郵件中虛假的網絡釣魚URL。

其次，欺詐管理是一種高頻率/高摩擦活動。

美國商家每年因信用卡欺詐蒙受的損失高達約1900億美元。如果欺詐性交易進入企業系統，會觸發商家采取一系列行動，面對受影響的有關方(客戶、合作伙伴或供應商)，商家需要采取這些行動。支持團隊參與進來，負責處理與欺詐受害者之間的互動。分析和調查人員需要審查取證數據，查明發生的情況、資金流向，力圖及早挽回損失。恢復“照常營業”常常需要受害者投入時間和精力，證明自己的系統很安全。如果你考慮到這些欺詐案的發生非常頻繁，這會導致與有關方進行極其重復、強度極大的互動。

相比之下，如果我們談論企業自有系統里面的安全，只有導致數據丟失的實際泄密事件(相對很少發生)才需要投入大量精力。比如說，據美國波耐蒙研究所(Ponemon Institute)聲稱，只有20%的數據泄密事件牽涉至少10000條記錄。

第三，欺詐暴露在世人面前。

遇到欺詐的客戶會對移動渠道乃至整個企業失去信任。要是損失沒有由企業自動填補(如果企業銀行帳戶泄密，就是這種情況)，訴訟就會接踵而來，從而給品牌造成負面影響。即便事件范圍比較小，那些不開心的客戶也會在社交網絡上吐槽欺詐事件，這最終會導致客戶流失。另外，欺詐性活動會引來監管部門對程序和過程進行更嚴格的審查，這進一步分走了業務部門和IT部門的資源。除非作為一項監管或合規要求，丟失的數據需要披露，否則一些企業安全泄密事件可能不會公之于眾。因而，許多泄密事件并沒有披露出來。

移動企業安全和移動欺詐防范有著同樣的目標：保護敏感的企業資產和機密的客戶信息。遺憾的是，許多安全團隊和企業組織仍把移動安全和移動欺詐防范視作是一個整體，卻沒有認識到它們目前的戰略并沒有起到應有的保護效果。確切地說，除了保護公司設備網絡里面的數據外，公司還有必要實施一項戰略，保護客戶遠離惡意活動。

英文：Deconstructing Mobile Fraud Risk