香港证券及期货事务监察委员会 (SFC) 发布了一项指令,禁止在互联网经纪和虚拟资产交易平台上使用一次性密码 (OTP) 进行客户登录和设备注册,理由是危害客户账户的网络钓鱼攻击数量惊人增加。
在周四发布的一份通知中,监管机构命令企业尽快采用防网络钓鱼身份验证机制(例如密钥和设备绑定),并要求在 12 个月内完全合规。大型互联网经纪商预计将立即实施这些变化。
去年年底,通过被劫持的账户进行了一系列未经授权的交易,导致证监会冻结了包括盈透证券本地子公司在内的四家经纪公司约 9,100 万港元(约合 1,170 万美元)的资金。
根据证监会的说法,通过短信或验证器应用程序传递的 OTP 很容易受到攻击,因为攻击者可以通过虚假登录页面实时拦截它们。相比之下,密钥和设备绑定将访问权限绑定到特定硬件或安全注册的设备,从而显着降低了凭据被盗的风险。
This directive builds on a broader anti-phishing campaign launched over a year ago.证监会此前在 2025 年 2 月的网络安全通告中鼓励(但并未强制)放弃 OTP。早期的措施包括要求经纪商注册短信发送者 ID 以及禁止短信中的可点击链接以防止欺骗。
监管机构指出,2025 年向香港计算机应急响应小组协调中心报告的所有安全事件中,网络钓鱼占 57%。
除了身份验证升级之外,证监会还指示企业加强对可疑登录、交易和提款的监控;及时通知客户重要的账户活动;并对违规行为迅速做出反应。公司必须继续对客户进行有关不断演变的网络钓鱼威胁的教育——目前香港警方正在共同努力进行虚拟资产监管。
博士。证监会中介机构部执行董事叶家强强调,稳健的账户保护需要采取四管齐下的方法:“预防、检测、应对和教育”。他敦促公司“通过强大的身份验证解决方案加强第一道防线。”
新规则适用于所有在香港从事证券、期货、杠杆外汇交易的持牌公司、通过在线平台分销资金的资产管理公司以及持牌加密货币交易场所。
证监会强调,高级管理层对保障客户资产负有最终责任,并对因安全控制不足而造成的损失承担责任。
