Hongkong forbyder SMS- og e-mail-login på krypto platforme: vil andre tilsyn følge trop?

  • Hongkongs SFC forbød OTP-login for kryptoplatforme og mæglere.
  • Phishing forårsagede 57% af regionens 15.877 cyberhændelser i 2025.
  • Operatører skal indføre passkeys eller enhedsforbindelse inden for 12 måneder.

Hongkongs finanstilsyn har forbudt engangskoder til login på crypto handelsplatforme. Reglen har til formål at stoppe phishing-svindel, som ligger bag en stigning i regionens cybersikkerhedshændelser.

Securities and Futures Commission udsendte et cirkulære. Det pålægger internetmæglere og crypto handelsplatforme at droppe SMS-, e-mail- og app-baserede engangskoder (OTP’er).

Platformene skal overgå til passkeys og andre phishing-resistente løsninger for login og binding af enheder. Operatørerne har 12 måneder til at implementere det, selvom store mæglere skal skifte med det samme. SFC advarede mod OTP-risici allerede i februar 2025 i deres vejledning. Det nye cirkulære gør skiftet obligatorisk.

Phishing driver rekordmange cyberhændelser

Hongkong registrerede 15.877 cybersikkerhedshændelser i 2025. SFC angiver, at det er en stigning på 27% fra året før. Phishing var skyld i 57% af tilfældene. Botnet-angreb stod for 18%, mens malware lå på 15%.

Antallet for 2025 er mere end dobbelt så højt som de 7.752 sager i 2023.

HKCERT fordeling af hændelsesrapporter 2025
HKCERT fordeling af hændelsesrapporter 2025. Kilde: HKCERT

Globale phishing-tab relateret til crypto wallets nåede cirka 306 millioner dollars alene i 1. kvartal 2026. Dermed blev tallet en udslagsgivende faktor for SFC’s handling. Angriberne bruger i stigende grad stjålne loginoplysninger frem for tekniske huller til at målrette sig crypto-brugere. BeInCrypto har fulgt et lignende mønster denne måned, hvor en phishing-signatur aftappede 999.999 USDT fra en enkelt Ethereum wallet.

HKCERT sikkerhedshændelser rapporteret 2025
HKCERT rapporterede sikkerhedshændelser 2025. Kilde: HKCERT

Nye regler tvinger crypto-platforme til passkeys

Platformene skal advare om mistænkelige logins, handler og udbetalinger. De skal også informere brugerne om vigtige konto-aktiviteter. Eric Yip fra SFC sagde, at virksomheder skal have stærk godkendelse kombineret med hurtig håndtering af hændelser. Men alene forebyggelse stopper sjældent en målrettet angreb, tilføjede han.

Samtidigt oplever decentrale crypto-platforme samme trusler. Et falsk airdrop phishing-svindelnummer drænede for nylig 12.300 dollars fra en HyperSwap-bruger på under 90 sekunder. Ligeledes trak en falsk Uniswap phishing-side omkring 400.000 dollars fra flere wallets omtrent samtidig. Disse eksempler understøtter, at OTP-forbuddet kun adresserer en del af et bredere problem med stjålne loginoplysninger i crypto-branchen.

Globale tilsyn står over for samme phishing-pres

SFC gør nu ledelsen direkte ansvarlig for tab blandt kunder. Derudover udløser svag cybersikkerhed også ansvar, hvilket er en strengere linje end tidligere. Virksomheder, der ikke overholder fristen på 12 måneder, risikerer sanktioner og tabt renommé i hele crypto-branchen. Store mæglere får skærpet tilsyn allerede med det samme under den nye deadline.

Tilsynsmyndigheder andre steder mærker samme phishing-pres. FBI’s globale kamp mod cyberkriminalitet og Tethers indefrysning af crypto-aktiver via TRON’s T3-enhed retter sig begge mod netværk, der bygger på stjålne oplysninger. Hongkongs forbud rejser nu spørgsmålet for myndigheder i Singapore, Storbritannien og andre lande: Vil andre tilsyn følge trop med egne phishing-resistente krav – eller vente på, at tabene vokser?


For at læse den seneste analyse af kryptovalutamarkedet fra BeInCrypto, klik her.

Ansvarsfraskrivelse

Alle oplysninger på vores hjemmeside offentliggøres i god tro og kun til generelle informationsformål. Enhver handling, der foretages af læserne på grundlag af oplysningerne på vores hjemmeside, er udelukkende på egen risiko.