
کمیسیون بورس و اوراق بهادار هنگ کنگ به پلتفرمهای معاملاتی رمزارز دارای مجوز و کارگزاران آنلاین دستور داده است که احراز هویت مبتنی بر پیامک را ظرف ۱۲ ماه آینده با روشهای ورود به سیستم مقاوم در برابر فیشینگ جایگزین کنند.
به گفته کمیسیون بورس و اوراق بهادار هنگ کنگ (SFC)، پلتفرمهای معاملاتی داراییهای مجازی (VATPs) و کارگزاران آنلاین باید از اتکا به رمزهای یکبار مصرف که از طریق پیامک، ایمیل یا کدهای تولید شده توسط برنامه ارسال میشوند، دست بردارند و به جای آن سیستمهای احراز هویت قویتری را به کار گیرند که برای مهاجمان دشوارتر باشد.
این نهاد نظارتی، الزامات جدید امنیت سایبری را روز پنجشنبه به عنوان بخشی از استانداردهای بهروز شده برای حفاظت از حساب مشتریان اعلام کرد.
بر اساس چارچوب جدید، شرکتها ملزم خواهند بود که روشهای احراز هویت مقاوم در برابر فیشینگ را همراه با اتصال دستگاه (device binding) معرفی کنند. SFC کلیدهای عبور (passkeys)، دستگاههای ثبتشده که از طریق تأیید رمزنگاری ایمن شدهاند و کلیدهای امنیتی سختافزاری را به عنوان جایگزینهای قابل قبول معرفی کرد. تمام پلتفرمهای دارای مجوز باید این انتقال را ظرف یک سال تکمیل کنند.
جدیدترین قوانین در حالی وضع میشوند که هنگ کنگ به توسعه بازار داراییهای دیجیتال قانونگذاری شده خود ادامه میدهد و همزمان استانداردهای عملیاتی را برای کسبوکارهای دارای مجوز افزایش میدهد. اوایل این هفته، SFC همچنین پس از گفتگو با نمایندگان صنعت، تغییراتی را در برنامه متخصص پلتفرم دارایی مجازی گواهینامه دار اعلام کرد.
این نهاد نظارتی متعهد شد که آزمون گواهینامه را از دوره اجباری آن جدا کند، هزینههای ارزیابی را کاهش دهد و مواد مطالعاتی را بهبود بخشد.
برنامه گواهینامه برای متخصصان دارایی مجازی، که توسط موسسه بورس و سرمایهگذاری هنگ کنگ (HKSI) تحت استانداردهای SFC اداره میشود، به عنوان صلاحیت حرفهای هنگ کنگ برای بخش داراییهای دیجیتال عمل میکند. این برنامه شامل اصول بلاکچین، محصولات دارایی دیجیتال و انطباق با مقررات ضد پولشویی است.
فعالیتهای نظارتی اخیر فراتر از صدور مجوز و استانداردهای حرفهای گسترش یافته است. ماه گذشته، هنگ کنگ تأیید کرد که اولین استیبلکوینهای قانونگذاری شده آن پس از اعطای مجوز صادرکنندگی توسط سازمان پولی هنگ کنگ به دو نهاد با حمایت بانکی در ماه آوریل، انتظار میرود بین اواسط و نیمه دوم سال ۲۰۲۶ وارد گردش شوند.
به گفته HKMA، برنامه زمانبندی عرضه مطابق با برنامههای تجاری موجود این نهادها است، در حالی که چارچوب صدور مجوز با هدف حمایت از نوآوری مالی، محافظت از کاربران و حفظ ثبات پولی و مالی طراحی شده است.
در بازگشت به اقدامات امنیت سایبری، SFC اعلام کرد که الزامات احراز هویت قویتر، پاسخی به خطرات فزاینده فیشینگ و کلاهبرداری است که پلتفرمهای مالی را تحت تأثیر قرار میدهد. دادههای استناد شده توسط نهاد نظارتی نشان داد که جعل و کلاهبرداری ۵۷ درصد از حوادث امنیتی گزارش شده به مرکز هماهنگی حوادث امنیت سایبری هنگ کنگ در سال ۲۰۲۵ را تشکیل میدهد.
دکتر یه ژیهنگ، مدیر اجرایی دپارتمان واسطهها در کمیسیون تنظیم مقررات اوراق بهادار چین، اظهار داشت که موسسات مالی برای محافظت از حساب مشتریان در برابر حملات کلاهبرداری به طور فزاینده پیچیده، به اقدامات هماهنگ پیشگیری، شناسایی، واکنش و آموزش نیاز دارند.
تصمیم SFC به دنبال دوره دیگری از زیانهای سنگین مرتبط با حملات فیشینگ و مهندسی اجتماعی در صنعت رمزارز است.
دادههای صنعت نشان میدهد که حملات فیشینگ و کلاهبرداریهای مهندسی اجتماعی ۳۰۶ میلیون دلار از مجموع ۴۸۲ میلیون دلار زیان امنیتی بخش رمزارز را در سهماهه اول سال ۲۰۲۶ تشکیل داده است.
اخیراً، یک سرمایهگذار رمزارز پس از تأیید یک تراکنش مخرب توکن فیشینگ در اتریوم، تقریباً ۱ میلیون دلار از دست داده است که به زیانهای مرتبط با فیشینگ که در نیمه اول سال ۲۰۲۶ به ۳۶۶ میلیون دلار رسید، کمک کرد.
حوادث جداگانه در طول سال ادامه داشته است. رایان کولمن، محقق، گزارش داد که یک دارنده کیف پول پس از اتصال به یک صرافی جعلی رمزارز و امضای یک قرارداد مخرب که به مهاجمان دسترسی نامحدود به کیف پول را میداد، حدود ۱.۶۵ میلیون دلار از دست داد.
پیشتر، در ۲۵ مه، تحلیلگر درون زنجیرهای b-block هشدار داد که کلاهبرداران از تبلیغات گوگل برای جعل هویت صرافی غیرمتمرکز یونیسواپ (Uniswap) استفاده کرده بودند و این کمپین طبق گزارشها بیش از ۴۰۰,۰۰۰ دلار از قربانیان به سرقت برده بود.
درخواستها برای امنیت قویتر کیف پول نیز از درون صنعت مطرح شده است. چانگپنگ ژائو، یکی از بنیانگذاران بایننس، پیش از این از کاربران خواسته بود پس از اینکه یک سرمایهگذار ۵۰ میلیون دلار را در کلاهبرداری مسمومیت آدرس در دسامبر ۲۰۲۵ از دست داد، اقدامات امنیتی بهتری را اتخاذ کنند.