
ممنوعیت ورود OTP برای پلتفرمهای کریپتو در هنگ کنگ
مقامات نظارتی به دنبال ترویج کلیدهای عبور، بررسیهای رمزنگاری شده وابسته به دستگاه و کلیدهای سختافزاری به عنوان گزینههای مقاوم در برابر فیشینگ هستند.
کمیسیون اوراق بهادار و آتی هنگ کنگ از پلتفرمهای تجارت داراییهای مجازی و کارگزاران آنلاین خواسته است که در مدت ۱۲ ماه احراز هویت مقاوم در برابر فیشینگ و اتصال دستگاه را اتخاذ کنند. استاندارد جدید بهطور صریح رمزهای یکبار مصرف ارسالشده از طریق پیامک، ایمیل یا جریانهای ورود مبتنی بر اپلیکیشن را ممنوع میکند و مکانها را مجبور میکند الگوهای دسترسی رایج برای معاملهگران خردهفروشی را بازنگری کنند.
نکات کلیدی
- کمیسیون بورس و اوراق بهادار هنگ کنگ یک مهلت ۱۲ ماهه برای اجرای الزامات جدید ورود مقاوم در برابر فیشینگ که شامل داراییهای مجازی میشود، تعیین کرد.داراییپلتفرمهای معاملاتی و کارگزاریهای آنلاین.
- رمزهای یکبار مصرف که از طریق پیامک، ایمیل یا جریانهای ورود مبتنی بر اپلیکیشن ارسال میشوند، تحت استاندارد جدید ممنوع هستند.
- کلیدهای عبور، دستگاههای ثبتشده تأییدشده بهصورت رمزنگاری و کلیدهای امنیتی سختافزاری بهعنوان مسیرهای مقاوم در برابر فیشینگ قابل قبول ذکر شدند.
- فیشینگ و مهندسی اجتماعی ۳۰۶ میلیون دلار از ۴۸۲ میلیون دلار کل خسارات صنعت کریپتو در سهماهه اول ۲۰۲۶ را به خود اختصاص دادند.
SFC شمارش معکوس ۱۲ ماهه برای ورودهای مقاوم در برابر فیشینگ را آغاز کرد
سازمان بورس هنگ کنگفیوچرزکمیسیون (SFC) در روز پنجشنبه، 9 ژوئیه 2026، الزامات جدیدی را صادر کرد که به پلتفرمهای معاملاتی داراییهای مجازی (VATPs) و کارگزاران آنلاین در شهر دستور میدهد که در 12 ماه آینده، احراز هویت مقاوم در برابر فیشینگ و کنترلهای اتصال دستگاه را اتخاذ کنند.
برای شرکتکنندگان بازار، عنوان بیشتر به یک ویژگی جدید مربوط نمیشود و بیشتر به یک خط پایه الزامی برای دسترسی به حساب مربوط است. SFC امنیت ورود به سیستم را به عنوان یک سطح کنترل اصلی برای مکانهای تحت نظارت در نظر میگیرد، نه یک ترجیح کاربر. بخش گزیده شامل سند کامل SFC نیست و سوالات باز باقی میگذارد که کدام پلتفرمهای خاص تحت پوشش هستند و چگونه اجرا خواهد شد.
OTP از طریق SMS/ایمیل/اپلیکیشن خارج است: الزامات استاندارد جدید چیست
این استاندارد رمزهای یکبار مصرف (OTP) که از طریق SMS، ایمیل یا ورود به سیستم مبتنی بر اپلیکیشن ارسال میشوند را ممنوع میکند. این یک ضربه مستقیم به رایجترین الگوهای احراز هویت دو عاملی است که در اپلیکیشنهای معاملاتی خردهفروشی استفاده میشود و به طور مؤثری مهاجرت به سمت تأیید هویتی که میتواند مورد سوءاستفاده قرار گیرد یا به صورت اجتماعی مهندسی شود را مجبور میکند.
الزام SFC "احراز هویت مقاوم در برابر فیشینگ" را با "اتصال دستگاه" ترکیب میکند. در عمل، این بدان معناست که دسترسی باید به یک دستگاه ثبت شده خاص با استفاده از بررسیهای رمزنگاری مرتبط باشد، نه اینکه به یک کدی متکی باشد که میتواند در یک سایت جعلی وارد شود یا به یک مهاجم داده شود.
پیامد عملی واضح است. در طول 12 ماه آینده، معاملهگران باید انتظار تغییرات مرحلهای مانند درخواستهای جدید ثبت دستگاه، مراحل بازیابی حساب تغییر یافته و اصطکاک بیشتر در ورودهای اولیه و تغییرات دستگاه را داشته باشند، زیرا مکانها جریانهای مبتنی بر OTP را کنار میگذارند.
کلیدهای عبور، تأیید هویت رمزنگاری دستگاه و کلیدهای سختافزاری: مسیرهای تأیید شده
SFC کلیدهای عبور، دستگاههای ثبت شده با تأیید هویت رمزنگاری و کلیدهای امنیتی سختافزاری را به عنوان گزینههای مقاوم در برابر فیشینگ ذکر کرد.
کلیدهای عبور معمولاً احراز هویت را به کلیدهای رمزنگاری شده که بر روی یک دستگاه ذخیره شده و با بیومتریک یا یک PIN دستگاه باز میشوند، منتقل میکنند و ارزش رمزهای عبور سرقت شده را کاهش میدهند و لحظه "کد را وارد کنید" که کیتهای فیشینگ از آن سوءاستفاده میکنند را از بین میبرند. تأیید هویت رمزنگاری دستگاه ثبت شده به مدلی اشاره دارد که در آن مکان خود دستگاه را تأیید میکند، نه فقط دانش کاربر از یک رمز عبور. کلیدهای امنیتی سختافزاری این مفهوم را با یک عامل فیزیکی که مالکیت را اثبات میکند، گسترش میدهند.
با هم، منو نشاندهندهی ترجیح برای روشهای احراز هویت است که به طور قابل توجهی سختتر از OTPها مورد فیشینگ قرار میگیرند، حتی زمانی که مهاجمان میتوانند به طرز قانعکنندهای صفحه ورود یک مکان را تقلید کنند.
تأثیر تجاری عملیاتی است—نظارت بر راهاندازیها، قفلها و اصطکاک مکانها
SFC این اقدام را در زمینه تهدید قابل اندازهگیری چارچوببندی کرد. حملات فیشینگ و کلاهبرداریهای مهندسی اجتماعی 306 میلیون دلار از 482 میلیون دلار کل خسارات صنعت کریپتو در سهماهه اول 2026 را به خود اختصاص داد. این بسته همچنین به خسارات مربوط به کلاهبرداریهای فیشینگ که به 366 میلیون دلار در نیمه اول 2026 میرسد، اشاره میکند.
در سطح محلی، حملات جعل و کلاهبرداری 57 درصد از حوادث امنیتی گزارش شده به مرکز هماهنگی حوادث امنیت سایبری هنگ کنگ در 2025 را تشکیل میدهد. دکتر یه ژیهنگ گفت: "برای محافظت از حسابهای مشتری در برابر حملات جعل و کلاهبرداری که به طور فزایندهای پیچیده و در حال تغییر هستند، باید اقدامات جامع در کنار پیشگیری، شناسایی، پاسخ و آموزش اجرا شود،" و تغییر ورود را به عنوان یک لایه در یک مجموعه کنترل وسیعتر قرار داد.
برای معاملهگران، ریسک کوتاهمدت کشف قیمت نیست. دسترسی است. راهاندازیهای پلتفرم به پلتفرم میتوانند قفلها، بهبودیهای تأخیری و اصطکاک هنگام حرکت بین مکانها ایجاد کنند، بهویژه اگر پشتیبانی از کلید سختافزاری یا ثبتنام دستگاه نابرابر باشد.
چگونه من الزامات SFC هنگ کنگ را برای ورودهای مقاوم در برابر فیشینگ میخوانم
من این را به عنوان یک تغییر در ساختار بازار در زیرساخت میخوانم، نه به عنوان یک کاتالیزور روایتی. با ممنوعیت OTPها از طریق SMS، ایمیل یا جریانهای ورود مبتنی بر برنامه، SFC مکانهای هنگ کنگ را مجبور میکند تا احراز هویت مقاوم در برابر فیشینگ و وابسته به دستگاه را به عنوان الزامات اولیه در نظر بگیرند و این معمولاً به عنوان چرخش عملیاتی به جای تأثیر فوری بر تجارت ظاهر میشود.
آستانهای که مهم است این است که آیا مکانها میتوانند کاربران را بدون ایجاد اصطکاک دسترسی پایدار منتقل کنند یا خیر. اگر پشتیبانی از کلید عبور، ثبتنام وابسته به دستگاه و جریانهای بازیابی حساب بهطور تمیز در پلتفرمها در طول 12 ماه اجرا شود، این تنظیم به نظر میرسد ساختاری به جای روایتمحور باشد و بازده عملی آن کاهش رویدادهای تصاحب حساب بدون کاهش تداوم اجرا است.