17 ноября 2025, 13:45

Банковские сотрудники сливают данные о клиентах на хакерских форумах – эксперт по кибербезопасности

Сегодня можно открыто зайти на такие форумы и купить чужую выписку.

скопировать ссылку

Что произошло

Банковская тайна в Казахстане работает только на бумаге. И эта проблема не только в нашей стране – так устроено во всём мире. Данные о клиентах сливают за вознаграждение сотрудники банков, в частности на хакерских форумах. Об этом корреспонденту BES.media рассказал эксперт по кибербезопасности Медет Турин на саммите Central Asia Fintech.

Кроме того, он высказался о едином QR, внедряемом в Казахстане.

Посмотреть эту публикацию в Instagram

Публикация от BES.media – Новости Казахстана (@bes.media_)

Банковская тайна только на бумаге

Медет Турин считает, что банковская тайна работает только на бумаге.

"Банковская тайна – это очень классный закон, не так давно были правки и так далее. Но мы должны понимать, что банковская тайна – только на бумаге. К сожалению, сегодня вы открыто можете зайти на хакерские форумы, купить за 100 тысяч тенге чужую выписку, посмотреть – кто, куда, что переводит и так далее", – сказал эксперт по кибербезопасности.

Он отметил, что можно говорить об антифроде банков и прочее, но это всё расцветает. Мошенники могут купить ваши данные у сотрудников банков на форумах.

"На форумах вербуются сотрудники банков. Ну, давайте возьмём среднюю зарплату банковского сотрудника – 500 тысяч или миллион тенге, возможно, кто-то зарабатывает. Если ему предложат в месяц зарабатывать 20 штук баксов, он конечно же, будет сливать эти данные", – уверен Медет Турин.

В целом, по его словам, проблема с банковской тайной – это проблема не только нашей страны, это во всём мире так устроено. Он отметил, что эта проблема решаема при помощи контрольных закупок.

"Это всё банально решаемо. Если бы каждый банк делал контрольную закупку – зарегистрировался на этих хакерских форумах и покупал бы за 100 тысяч тенге отчёт, он бы увидел бы, кто из его базы данных в его системе выгружает эти данные. Ну, то есть Айнура зашла в аккаунт и скачала данные о Медете, к примеру. Это же всё логируется в банковских системах, но в большом потоке никто за этим не смотрит. Но тут вы конкретно поймёте, кто продаёт эти данные, сделав просто контрольную закупку", – пояснил спикер.

Одним словом, люди работающие в банках, имеющие доступ к информации, могут спокойно продать эти данные.

О безопасности единого qr

Медет Турин считает, что в целом сама технология единого QR достаточно безопасная.

"Единственный момент, чтобы сами казахстанцы занялись своей кибергигиеной. Почему? Потому что злоумышленники вам могут подменить QR, и вы можете оплатить что-то. Поэтому нужно понимать, где вы оплачиваете, на каких pos-терминалах и так далее. Есть риск того, что могут взломать не сам QR, а подменить его, взломав какой-нибудь pos-терминал, либо развесить его на каких-то стендах. Допустим, оплачиваете парковку, сканируете QR, он может быть подменён. Какую-нибудь наклейку наклеили, к примеру, и соответственно, вы заплатили не туда. Такое уже практикуется здесь", – рассказал эксперт по кибербезопасности.

Мошенники всегда на шаг впереди

По его словам, мошенники всегда на шаг впереди – пока защита разрабатывается, мошенники уже придумывают новые способы взлома или как обмануть людей. Сейчас самым банальным видом мошеннических атак является звонок и просьба сообщить код.

"Вы должны понимать, что ни один банк сегодня не звонит, не просит сообщить код. Вы не должны никуда сообщать код", – рекомендовал эксперт.

Он также отметил, что многие бизнесмены передают свои ЭЦП, к примеру, сообщают SMS-коды своим бухгалтерам и так далее. Но они не понимают, какой риск есть.

"Просто у нас население, к сожалению, не понимает, какие риски есть. Вы представляете, если ваше ЭЦП, на котором пароль, скорее всего, какой-нибудь АА1234, утечёт в чьи-то руки, ваше имущество они могут переоформить. На вас могут открыть юридическое лицо, ТОО-шку или ИП-шку, взять на него кредит. И потом вы вряд ли сможете доказать. Даже если докажете, вы потратите годы жизни и очень много денег, то, что это были не вы. Тут очень много таких нюансов, про которые население должно сегодня знать", – пояснил спикер.

Очень много биометрии собирается

По словам Медета Турина, он с большим сомнением относится к тому, что слишком много биометрии сегодня собирается частными компаниями или финтех-проектами.

"Одно дело, когда государство владеет вашими биометрическими данными для организации вашей безопасности. Другое дело, когда это частная какая-то компания либо финтех-проект имеет доступ к этому всему. Почему? Потому что вы не сможете контролировать это всё. То есть по закону, да, вы можете запросить, написать в банк и так далее, чтобы удалили ваши данные. Но, к сожалению, где гарантии того, что это делается? Они вам отпишут, что да, мы удалили все ваши данные. Но, как показывает вообще мировая практика, все эти данные всё равно где-то там хранятся у них", – заключил Медет Турин.

Контекст

Агентство по регулированию и развитию финансового рынка выступило против расширения списка оснований, по которым информацию клиентов банков могут передавать по запросу.

Глава АРРФР Мадина Абылкасымова в беседе с корреспондентом BES.media подчеркнула, что передача данных уже строго ограничена законом и допускается только в чётко определённых случаях.

"Банковская тайна является ключевым элементом доверия к банковской системе. Есть конкретно прописанные условия, при которых персональные данные о состоянии счетов могут передаваться в правоохранительные органы в рамках уголовных дел или в налоговые органы. Все исчерпывающие основания сейчас уже прописаны", – сказала она в кулуарах форума Kazakhstan Growth Forum в Алматы.