香港证券及期货事务监察委员会已命令持牌虚拟资产交易平台和互联网券商在 12 个月内逐步取消客户登录和设备注册的一次性密码。该指令是在网络钓鱼攻击增加的背景下发布的,据香港网络安全事件协调中心数据显示,2025 年网络钓鱼事件占所有报告的安全事件的 57%。监管机构表示,基于一次性密码的验证方式已不足以应对钓鱼、冒充和欺诈操作,这些操作会诱使用户交出登录码,从而让攻击者访问账户、注册新设备、进行交易或在公司检测到账户被攻破前尝试提款。
SFC 要求采用通行密钥和设备绑定进行验证
通知要求公司停止使用一次性密码进行客户登录和设备绑定,转而采用更强的验证方法,如通行密钥和设备绑定。监管机构表示,应“尽快”实施,最终期限为通知发出之日起 12 个月。大型互联网券商被要求立即采用新验证方法。通行密钥减少了对通过钓鱼页面窃取的验证码的依赖,而设备绑定则将账户访问绑定到可信设备上,增加未授权登录的难度。
持牌公司须加强监控和客户提醒
持牌公司必须加强监控系统,以检测可疑的登录、交易和提款活动。这包括监控异常访问模式、新设备活动、异常订单行为以及可能表明账户已被攻破的提款请求。监管机构还要求公司及时通知客户重大账户活动,并在黑客事件发生时迅速应对。客户教育也是任务的一部分,预计公司应定期提醒用户警惕冒充诈骗、钓鱼攻击和新兴的网络安全风险。
香港证券及期货事务监察委员会中介部门执行董事叶志恒表示:“为了保护客户账户免受日益复杂和多样化的钓鱼攻击,必须采取预防、检测、应对和教育相结合的全面措施。持牌机构应通过强大的验证解决方案加强第一道防线,保持警惕,及时应对可疑活动,防止损失扩大。”
高层管理对账户保护负最终责任
SFC 提醒持牌公司的高层管理层对采取适当措施保护客户账户和资产负有最终责任。监管机构表示,若内部控制不足导致客户损失,公司可能会被追究责任。该政策适用于互联网券商和虚拟资产交易平台,为传统证券和加密货币市场的线上金融访问设定了统一的基础标准。
常见问题解答
香港加密平台和券商必须采用哪些验证方法以取代 OTP?
公司必须采用更强的验证方法,如通行密钥和设备绑定。通行密钥减少了对通过钓鱼页面窃取的验证码的依赖,而设备绑定则将账户访问绑定到可信设备。
为何 SFC 要求逐步取消 OTP 登录?
该指令是在网络钓鱼攻击增加的背景下发布的,据香港网络安全事件协调中心数据显示,2025 年网络钓鱼事件占所有报告的安全事件的 57%。监管机构表示,基于 OTP 的验证已不足以应对钓鱼、冒充和欺诈操作。
公司遵守 SFC 新验证要求的截止日期是何时?
公司须在通知发出之日起 12 个月内逐步取消客户登录和设备注册的 OTP。大型互联网券商被要求立即采用新验证方法。