Hongkongs finanstilsyn har forbudt engangskoder til login på crypto handelsplatforme. Reglen har til formål at stoppe phishing-svindel, som ligger bag en stigning i regionens cybersikkerhedshændelser.
Securities and Futures Commission udsendte et cirkulære. Det pålægger internetmæglere og crypto handelsplatforme at droppe SMS-, e-mail- og app-baserede engangskoder (OTP’er).
Platformene skal overgå til passkeys og andre phishing-resistente løsninger for login og binding af enheder. Operatørerne har 12 måneder til at implementere det, selvom store mæglere skal skifte med det samme. SFC advarede mod OTP-risici allerede i februar 2025 i deres vejledning. Det nye cirkulære gør skiftet obligatorisk.
Phishing driver rekordmange cyberhændelser
Hongkong registrerede 15.877 cybersikkerhedshændelser i 2025. SFC angiver, at det er en stigning på 27% fra året før. Phishing var skyld i 57% af tilfældene. Botnet-angreb stod for 18%, mens malware lå på 15%.
Antallet for 2025 er mere end dobbelt så højt som de 7.752 sager i 2023.
Globale phishing-tab relateret til crypto wallets nåede cirka 306 millioner dollars alene i 1. kvartal 2026. Dermed blev tallet en udslagsgivende faktor for SFC’s handling. Angriberne bruger i stigende grad stjålne loginoplysninger frem for tekniske huller til at målrette sig crypto-brugere. BeInCrypto har fulgt et lignende mønster denne måned, hvor en phishing-signatur aftappede 999.999 USDT fra en enkelt Ethereum wallet.
Nye regler tvinger crypto-platforme til passkeys
Platformene skal advare om mistænkelige logins, handler og udbetalinger. De skal også informere brugerne om vigtige konto-aktiviteter. Eric Yip fra SFC sagde, at virksomheder skal have stærk godkendelse kombineret med hurtig håndtering af hændelser. Men alene forebyggelse stopper sjældent en målrettet angreb, tilføjede han.
Samtidigt oplever decentrale crypto-platforme samme trusler. Et falsk airdrop phishing-svindelnummer drænede for nylig 12.300 dollars fra en HyperSwap-bruger på under 90 sekunder. Ligeledes trak en falsk Uniswap phishing-side omkring 400.000 dollars fra flere wallets omtrent samtidig. Disse eksempler understøtter, at OTP-forbuddet kun adresserer en del af et bredere problem med stjålne loginoplysninger i crypto-branchen.
Globale tilsyn står over for samme phishing-pres
SFC gør nu ledelsen direkte ansvarlig for tab blandt kunder. Derudover udløser svag cybersikkerhed også ansvar, hvilket er en strengere linje end tidligere. Virksomheder, der ikke overholder fristen på 12 måneder, risikerer sanktioner og tabt renommé i hele crypto-branchen. Store mæglere får skærpet tilsyn allerede med det samme under den nye deadline.
Tilsynsmyndigheder andre steder mærker samme phishing-pres. FBI’s globale kamp mod cyberkriminalitet og Tethers indefrysning af crypto-aktiver via TRON’s T3-enhed retter sig begge mod netværk, der bygger på stjålne oplysninger. Hongkongs forbud rejser nu spørgsmålet for myndigheder i Singapore, Storbritannien og andre lande: Vil andre tilsyn følge trop med egne phishing-resistente krav – eller vente på, at tabene vokser?









