Эксперт: сотрудники банков сами сливают данные казахстанцев мошенникам
Медет Турин заявил, что сотрудники банков в Казахстане продают данные клиентов на хакерских форумах, а также предупредил о рисках единого QR, утечках ЭЦП и массовом сборе биометрии.
В Казахстане банковская тайна все чаще оказывается формальностью. Доступ к чужим выпискам можно купить буквально в несколько кликов. Об этом на саммите Central Asia Fintech рассказал эксперт по кибербезопасности Медет Турин. По его словам, утечки данных происходят не из-за мифических хакеров, а из-за людей, работающих внутри банковских систем, передает Finratings.kz со ссылкой на bes.media.
Сегодня на специализированных хакерских площадках спокойно продают персональные данные казахстанцев: выписки по счетам, историю переводов, информацию о движении денег. Стоимость такого «набора» – около 100 тысяч тенге. Турин отмечает: сотрудники банков сами выходят на подобные форуми, чтобы продать доступ к базам.
«Если человеку предлагают 20 тысяч долларов, он сольет любой файл»
Эксперт объясняет, почему утечки не прекращаются. Средний банковский сотрудник получает 500 тысяч или миллион тенге. Но когда ему предлагают десятки тысяч долларов за выгрузку данных о клиентах, многие немогут устоять. Особенно если работодатель не имеет реального контроля за тем, что происходит внутри системы.
По словам Тулина, глобальная проблема не уникальна для Казахстана. Утечки происходят по всему миру, а мошенники создают целые сети по вербовке работников финансовых организаций.
Банкам предложили простой способ поймать утечку, но он почти не используется
Эксперт уверен: проблему можно решить буквально за несколько дней. Достаточно, чтобы каждый банк хотя бы раз провел контрольную закупку – зарегистрировался на хакерском форуме, купил доступ к отчету за 100 тысяч тенге и проверил, кто из сотрудников заходил в базу клиента.
«Это все логируется. Видно, кто именно скачал файл. Но при большом потоке никто за этим не следит», – говорит Турин.
По его словам, если банк купит утекшие данные, он сразу увидит, но такие проверки пока почти не проводятся.
Единый QR: безопасен, но не без уязвимостей
Что касается внедрения единого QR, Турин считает технологию в целом безопасной. Опасность не в самом коде, а в человеческом факторе. QR-коды можно подменить: наклеить свой с мошенническим счетом на паркомате, стенде или pos-терминале.
«Главный риск – казахстанцы не соблюдают кибергигиену. Люди оплачивают покупки, не проверив реквизиты, и попадают в ловушки», – считает эксперт.
«Вы отдаете бухгалтерам SMS-коды и ЭЦП, а потом удивляетесь последствиям»
Турин рассказал, что многие бизнесмены сами создают себе проблемы: передают бухгалтеру ЭЦП, пересылают SMS-коды для подтверждения подписей, не понимая масштаба риска.
Если чьи-то руки получат доступ к ЭЦП, которая часто защищена простым паролем «AA1234», можно:
- переоформить имущество на третьих лиц
- открыть на жертву ТОО или ИП
- оформить кредит
- совершить сделки от ее имени
Доказать, что предприниматель не подписывал документы, потом практически невозможно. Судебные тяжбы могут занять годы.
Сбор биометрии вызывает тревогу
Еще одна проблема – объем биометрических данных, которые собирают частные компании. По словам эксперта, государство еще может обеспечить контроль над хранением биометрии, но финтех– нет.
«Вам могут написать, что данные удалены. Но кто в это поверит? Мировая практика показывает: однажды собранные данные остаются где-то навсегда», – подчеркивает Турин.
Киберугрозы в Казахстане растут быстрее, чем развивается культура цифровой безопасности. Мошенники не просто идут в ногу со временем – они действуют быстрее банков, быстрее пользователей и быстрее регуляторов. А пока контроль внутри финансовых организаций остается слабым, банковская тайна продолжит жить только на бумаге.
Ранее депутат мажилиса Мурат Абенов предложил списывать кредиты, оформленные с поддельной биометрией, без суда. По его словам, граждане не должны отвечать за ошибки и халатность банков, которые допустили такие операции.
Читайте также: