Ủy ban Chứng khoán và Hợp đồng tương lai Hong Kong đã ra lệnh cho các nền tảng giao dịch tài sản ảo có giấy phép và các công ty môi giới trực tuyến loại bỏ mật khẩu một lần (OTP) để đăng nhập khách hàng và đăng ký thiết bị trong vòng 12 tháng. Chỉ thị này theo sau sự gia tăng các cuộc tấn công giả mạo, chiếm 57% tổng số vụ vi phạm an ninh được báo cáo trong năm 2025 theo dữ liệu từ Trung tâm Phối hợp An ninh mạng Hong Kong. Cơ quan quản lý cho biết xác thực dựa trên OTP không còn đủ an toàn trước các hoạt động lừa đảo qua email, mạo danh và gian lận khiến người dùng tiết lộ mã đăng nhập, cho phép tin tặc truy cập tài khoản, đăng ký thiết bị mới, thực hiện giao dịch hoặc cố gắng rút tiền trước khi các công ty phát hiện sự xâm phạm.
SFC Yêu Cầu Sử Dụng Passkeys và Ràng Buộc Thiết Bị để Xác Thực
Thông báo yêu cầu các công ty ngừng sử dụng OTP để đăng nhập khách hàng và ràng buộc thiết bị, chuyển sang các phương pháp xác thực mạnh hơn như passkeys và ràng buộc thiết bị. Cơ quan quản lý cho biết việc thực hiện nên diễn ra "ngay khi có thể", với hạn cuối là 12 tháng kể từ ngày ban hành thông báo. Các công ty môi giới trực tuyến lớn được yêu cầu áp dụng ngay các phương pháp xác thực mới. Passkeys giảm phụ thuộc vào mã có thể bị đánh cắp qua các trang phishing, trong khi ràng buộc thiết bị liên kết quyền truy cập tài khoản với các thiết bị đáng tin cậy, làm khó khăn hơn cho các truy cập trái phép.
Các Công Ty Có Giấy Phép Phải Tăng Cường Giám Sát và Thông Báo Khách Hàng
Các công ty có giấy phép phải nâng cao hệ thống giám sát để phát hiện các hoạt động đăng nhập, giao dịch và rút tiền đáng ngờ. Điều này bao gồm theo dõi các mô hình truy cập bất thường, hoạt động thiết bị mới, hành vi đặt lệnh bất thường và yêu cầu rút tiền có thể cho thấy tài khoản đã bị xâm phạm. Cơ quan quản lý cũng yêu cầu các công ty thông báo kịp thời cho khách hàng về các hoạt động đáng chú ý của tài khoản và phản ứng nhanh chóng với các vụ hack. Giáo dục khách hàng là một phần của yêu cầu, với kỳ vọng các công ty sẽ thường xuyên cảnh báo người dùng về các trò lừa đảo mạo danh, các cuộc tấn công phishing và các rủi ro an ninh mạng mới nổi.
Tiến sĩ Yip Chi-hang, Giám đốc Điều hành Bộ phận Trung gian của SFC, nói: "Để bảo vệ tài khoản khách hàng khỏi các cuộc tấn công phishing ngày càng tinh vi và đa dạng, cần có một phương pháp toàn diện kết hợp phòng ngừa, phát hiện, phản ứng và giáo dục. Các tổ chức có giấy phép nên củng cố tuyến phòng thủ đầu tiên bằng các giải pháp xác thực mạnh mẽ, duy trì cảnh giác trước các hoạt động đáng ngờ và phản ứng nhanh chóng trước khi thiệt hại xảy ra."
Quản lý Cấp Cao Chịu Trách Nhiệm Cuối Cùng về Bảo Vệ Tài Khoản
SFC nhắc nhở các quản lý cấp cao tại các công ty có giấy phép rằng họ chịu trách nhiệm cuối cùng về các biện pháp kiểm soát phù hợp để bảo vệ tài khoản và tài sản của khách hàng. Cơ quan quản lý cho biết các công ty có thể bị truy cứu trách nhiệm về các khoản lỗ của khách hàng do thiếu sót trong kiểm soát nội bộ. Chính sách này áp dụng cho cả các nền tảng môi giới trực tuyến và các sàn giao dịch tài sản ảo, đặt ra mức chuẩn chung cho quyền truy cập tài chính trực tuyến trong các thị trường chứng khoán truyền thống và tiền điện tử.
Câu Hỏi Thường Gặp
Các phương pháp xác thực mà các nền tảng crypto và môi giới Hong Kong phải áp dụng để thay thế OTP là gì?
Các công ty phải áp dụng các phương pháp xác thực mạnh hơn như passkeys và ràng buộc thiết bị. Passkeys giảm phụ thuộc vào mã có thể bị đánh cắp qua các trang phishing, trong khi ràng buộc thiết bị liên kết quyền truy cập tài khoản với các thiết bị đáng tin cậy.
Tại sao SFC ra lệnh loại bỏ đăng nhập bằng OTP?
Chỉ thị này theo sau sự gia tăng các cuộc tấn công giả mạo, chiếm 57% tổng số vụ vi phạm an ninh được báo cáo trong năm 2025 theo Trung tâm Phối hợp An ninh mạng Hong Kong. Cơ quan quản lý cho biết xác thực dựa trên OTP không còn đủ an toàn trước các hoạt động lừa đảo qua email, mạo danh và gian lận.
Thời hạn các công ty phải tuân thủ các yêu cầu xác thực mới của SFC là bao lâu?
Các công ty có 12 tháng kể từ ngày ban hành thông báo để loại bỏ OTP trong đăng nhập khách hàng và đăng ký thiết bị. Các công ty môi giới trực tuyến lớn được yêu cầu áp dụng ngay các phương pháp xác thực mới.