Cơ quan Chứng khoán và Hợp đồng Tương lai Hồng Kông (SFC) đã yêu cầu các công ty môi giới internet và các nền tảng giao dịch tài sản ảo được cấp phép thay thế mật khẩu dùng một lần bằng các phương thức xác thực có khả năng chống lừa đảo (phishing) trong các yêu cầu được công bố ngày 9 tháng 7. Các công ty phải triển khai các biện pháp kiểm soát mạnh hơn cho đăng nhập và ràng buộc thiết bị trong vòng 12 tháng, trong đó các nhà môi giới lớn hơn dự kiến bắt đầu áp dụng ngay lập tức. Chỉ đạo này nhằm giải quyết các cuộc tấn công phishing, chiếm 57% trong tổng số sự cố an ninh mạng được Trung tâm Điều phối Phản ứng Sự cố Máy tính Hồng Kông (Hong Kong Computer Emergency Response Team Coordination Centre) ghi nhận trong năm 2025. SFC cho biết mật khẩu dùng một lần truyền thống không còn đủ để chống lại các chiến dịch phishing ngày càng tinh vi nhắm vào tài khoản giao dịch trực tuyến. Động thái này củng cố cách tiếp cận của Hồng Kông trong việc đặt ra tiêu chuẩn quản lý đối với các công ty tài sản số tương tự như những tiêu chuẩn áp dụng cho các tổ chức tài chính truyền thống.
SFC cho biết các công ty môi giới internet và các nhà điều hành nền tảng giao dịch tài sản ảo nên ngừng sử dụng mật khẩu dùng một lần cho cả đăng nhập của khách hàng và ràng buộc thiết bị, vì các công nghệ xác thực an toàn hơn hiện đã được cung cấp rộng rãi. Cơ quan quản lý nêu ví dụ về passkeys và ràng buộc thiết bị như các phương thức xác thực có khả năng chống phishing, có thể ngăn kẻ tấn công truy cập ngay cả khi khách hàng bị lừa tiết lộ thông tin đăng nhập.
Ràng buộc thiết bị liên kết tài khoản giao dịch của khách hàng với máy tính hoặc thiết bị di động đã được đăng ký an toàn bằng các đặc điểm thiết bị riêng biệt, khiến tội phạm đăng nhập từ phần cứng không được phép trở nên khó khăn hơn đáng kể. SFC lần đầu cảnh báo các công ty về các điểm yếu liên quan đến xác thực dựa trên OTP vào tháng 2 năm 2025 sau một cuộc rà soát an ninh mạng. Văn bản hướng dẫn mới nhất biến những khuyến nghị này thành yêu cầu mang tính quy định.
Các yêu cầu mới áp dụng tương đương cho các công ty môi giới chứng khoán được cấp phép và các nhà điều hành nền tảng giao dịch tài sản ảo. Ngoài xác thực mạnh hơn, các công ty phải triển khai các hệ thống giám sát hiệu quả có khả năng phát hiện các nỗ lực đăng nhập đáng ngờ, hoạt động giao dịch bất thường và các yêu cầu rút tiền không bình thường. Họ cũng được kỳ vọng sẽ thông báo kịp thời cho khách hàng về các sự kiện quan trọng của tài khoản, phản ứng nhanh với các sự cố bị hack và thường xuyên cảnh báo khách hàng về các chiến dịch phishing mới nổi cũng như các mối đe dọa an ninh mạng khác.
SFC cho biết ban lãnh đạo cấp cao vẫn sẽ chịu trách nhiệm cuối cùng trong việc bảo vệ tài sản của khách hàng và cảnh báo rằng các công ty có thể bị quy trách nhiệm đối với các khoản lỗ phát sinh từ việc kiểm soát an ninh mạng không đầy đủ. Ông Dr Eric Yip, Giám đốc Điều hành về Các trung gian của SFC, cho biết: “Việc bảo vệ tài khoản khách hàng khỏi các cuộc tấn công phishing ngày càng tinh vi và khó lường đòi hỏi các biện pháp tổng thể kết hợp giữa phòng ngừa, phát hiện, ứng phó và giáo dục. Các công ty được cấp phép nên tăng cường lớp phòng thủ đầu tiên bằng các giải pháp xác thực vững chắc, luôn cảnh giác với các hoạt động đáng ngờ và phản ứng nhanh trước khi xảy ra thiệt hại.”
Khác với các thông tin xác thực truyền thống, passkeys dựa trên xác thực mật mã học gắn với thiết bị của người dùng và không thể dễ dàng bị chặn hoặc tái sử dụng thông qua các trang web phishing. Các công ty công nghệ bao gồm Apple, Google và Microsoft đã tích hợp hỗ trợ passkey vào hệ điều hành của họ, trong khi các ngân hàng và công ty fintech đã bắt đầu triển khai công nghệ này cho xác thực khách hàng. Đối với các nhà môi giới và sàn giao dịch crypto, xác thực mạnh hơn ngày càng trở nên quan trọng khi tội phạm mạng nhắm vào các tài khoản giao dịch có thể mang lại quyền truy cập tức thì vào tiền mặt, chứng khoán và tài sản số.
Cùng với các biện pháp kiểm soát kỹ thuật, SFC thúc giục nhà đầu tư tiếp tục tuân thủ các thực hành cơ bản về an ninh mạng, bao gồm sử dụng mật khẩu mạnh và duy nhất, giữ thiết bị luôn được cập nhật, chỉ truy cập tài khoản qua các trang web và ứng dụng chính thức, đồng thời rà soát sao kê tài khoản để phát hiện hoạt động trái phép. Cơ quan quản lý khuyến nghị các nhà đầu tư nếu nghi ngờ thông tin đăng nhập của mình đã bị xâm phạm, hãy liên hệ ngay với công ty môi giới hoặc nền tảng tài sản ảo, bảo vệ tài khoản và báo cáo sự cố lên các cơ quan chức năng liên quan.
SFC Hồng Kông đã yêu cầu thay thế những phương thức xác thực nào cho các nhà môi giới và nền tảng crypto?
SFC đã yêu cầu các công ty môi giới internet và các nền tảng giao dịch tài sản ảo được cấp phép thay thế mật khẩu dùng một lần bằng các phương thức xác thực có khả năng chống phishing như passkeys và ràng buộc thiết bị trong các yêu cầu được công bố ngày 9 tháng 7.
Vì sao SFC yêu cầu xác thực mạnh hơn cho các tài khoản giao dịch?
SFC cho biết các cuộc tấn công phishing chiếm 57% trong tổng số sự cố an ninh mạng được Trung tâm Điều phối Phản ứng Sự cố Máy tính Hồng Kông ghi nhận trong năm 2025, đồng thời nêu rằng các mật khẩu dùng một lần truyền thống không còn đủ để chống lại các chiến dịch phishing ngày càng tinh vi nhắm vào tài khoản giao dịch trực tuyến.
Hạn chót triển khai cho các yêu cầu xác thực mới là khi nào?
Các công ty phải triển khai các biện pháp kiểm soát đăng nhập và ràng buộc thiết bị mạnh hơn trong vòng 12 tháng kể từ ngày công bố 9 tháng 7, trong khi các nhà môi giới lớn hơn dự kiến sẽ bắt đầu áp dụng các biện pháp ngay lập tức.
Tin tức liên quan
FSC yêu cầu các công ty chứng khoán nộp kế hoạch bảo vệ nhà đầu tư trước ngày 13 tháng 7
Ủy ban Chứng khoán và Hối đoái Hong Kong ra lệnh loại bỏ xác thực OTP trong 12 tháng đối với các công ty tiền điện tử và môi giới
Trung tâm Chính sách Hyperliquid và Phantom kêu gọi CFTC cập nhật quy định về Giao dịch trên chuỗi
Ủy ban Chứng khoán và Hối đoái Hong Kong cấm OTPs cho các nền tảng tiền điện tử giữa làn sóng lừa đảo qua mạng