ДомойZ - Баннер Главная итальянскийБезопасность криптовалют в Гонконге: запрет одноразовых паролей после роста кибератак на 27%

Безопасность криптовалют в Гонконге: запрет одноразовых паролей после роста кибератак на 27%

Стремление Гонконга усилить криптобезопасность только что сделало конкретный и значимый шаг. Комиссия по ценным бумагам и фьючерсам города выпустила циркуляр, запрещающий вход с использованием одноразовых паролей на всех криптовалютных торговых платформах и у интернет-брокеров — это прямой ответ на эпидемию фишинга, которая тихо опустошает счета пользователей и перегружает региональную кибербезопасностную инфраструктуру.

Summary

Ключевые выводы

  • Комиссия по ценным бумагам и фьючерсам Гонконга запретила вход с использованием одноразовых паролей по SMS, email и через приложения для криптоплатформ и интернет-брокеров, требуя вместо этого passkeys или другие устойчивые к фишингу методы.
  • Операторы имеют 12-месячный срок для соблюдения требований; крупные брокеры должны действовать немедленно.
  • В Гонконге было зафиксировано 15 877 инцидентов кибербезопасности в 2025 году — рост на 27% по сравнению с предыдущим годом — при этом на фишинг приходилось 57% случаев.
  • Высшее руководство лицензированных платформ теперь несет прямую личную ответственность за потери клиентов, связанные со слабыми механизмами аутентификации.
  • Недавние фишинговые атаки вывели 12 300 долларов у пользователя HyperSwap и примерно 400 000 долларов через поддельные сайты Uniswap, что демонстрирует масштаб угрозы.

Гонконг запрещает вход по одноразовым паролям для борьбы с рисками фишинга

Циркуляр Комиссии по ценным бумагам и фьючерсам необычно прямолинеен для финансового регулятора: прекратите использовать одноразовые пароли, и сделайте это немедленно, если вы крупный брокер. Для более мелких операторов окно составляет 12 месяцев с момента выпуска циркуляра. Не упоминается ни двусмысленность, ни механизм продления.

Подробности запрета OTP и новые требования к аутентификации

Запрет охватывает все распространенные формы одноразовых паролей — SMS-коды, проверочные ссылки по электронной почте и токены, генерируемые приложениями — устраняя то, что исторически было одним из самых привычных уровней защиты входа в финансовых сервисах. Вместо них платформы должны внедрить passkeys, зарегистрированные устройства с криптографической проверкой и аппаратные ключи безопасности. Комиссия описала их в совокупности как решения, устойчивые к фишингу, то есть такие, которые остаются непригодными к использованию даже в том случае, если пользователь был обманом перенаправлен на мошеннический сайт.

«Чтобы защитить счета клиентов от все более изощренных и разнообразных фишинговых атак, необходим комплексный подход, сочетающий профилактику, обнаружение, реагирование и обучение», — сказал доктор Йип Чи-ханг, исполнительный директор Департамента посредников Комиссии по ценным бумагам и фьючерсам. Он добавил, что лицензированным учреждениям необходимо укрепить свою первую линию обороны за счет надежной аутентификации и оперативно реагировать до того, как будет нанесен ущерб.

Базовая логика проста: одноразовые пароли могут быть перехвачены или пересланы в режиме реального времени фишинговым сайтом. Passkeys и криптографическая привязка устройства — нет. Злоумышленник, который обманом заставляет пользователя ввести одноразовый код на поддельной странице биржи, получает все, что ему нужно. Злоумышленник, сталкивающийся с входом, привязанным к passkey, не получает ничего, что можно использовать.

Сроки соблюдения и немедленное влияние на крупных брокеров

12-месячное окно применяется в целом ко всем операторам, но крупные интернет-брокерские фирмы сталкиваются с немедленным вниманием регулятора без льготного периода. Формулировка Комиссии — «как можно скорее» — сигнализирует, что она ожидает от крупных институтов отношения к этому как к операционному чрезвычайному положению, а не как к будущей вехе проекта. Фирмы, не уложившиеся в срок, рискуют столкнуться с мерами принудительного воздействия и репутационным ущербом — сочетанием, которое может повлиять как на регуляторный статус, так и на доверие клиентов на рынке, где лицензирование и репутация имеют решающее значение.

Рост фишинговых атак и киберугроз в Гонконге

Цифры, лежащие в основе этого регулирования, впечатляют. В Гонконге было зарегистрировано 15 877 инцидентов кибербезопасности в 2025 году, что означает рост на 27% по сравнению с предыдущим годом — и более чем вдвое больше по сравнению с 7 752 инцидентами, зафиксированными в 2023 году. На фишинговые и спуфинг-атаки приходилось 57% всех зарегистрированных случаев, согласно данным Координационного центра по инцидентам кибербезопасности Гонконга, на которые ссылается Комиссия в своем заявлении.

Всплеск киберинцидентов, вызванный фишингом

Ускорение заметно. Переход от примерно 7 752 инцидентов в 2023 году к почти 16 000 двумя годами позже представляет собой структурную проблему, а не статистический всплеск. Атаки ботнетов следовали за фишингом, составляя 18% случаев, а на вредоносное ПО приходилось 15%. Но именно фишинг находится в центре обеспокоенности Комиссии — именно потому, что это вектор атаки, который наиболее прямо поддерживается системами входа на основе одноразовых паролей.

В глобальном масштабе картина столь же тревожна. Фишинговые атаки и мошенничество с использованием социальной инженерии составили 306 миллионов долларов из общих потерь криптоиндустрии в размере 482 миллионов долларов только в первом квартале 2026 года. В первой половине года общие потери, связанные с фишингом, достигли 366 миллионов долларов, согласно отраслевым данным мониторинга, на которые ссылаются подтверждающие отчеты.

Знаковые случаи кражи криптоактивов, связанные с фишинговыми схемами

Два недавних случая наглядно демонстрируют, что именно Комиссия пытается остановить. Фишинговая схема с поддельным airdrop вывела 12 300 долларов у пользователя HyperSwap менее чем за 90 секунд. Примерно в тот же период мошенники разместили вредоносные объявления Google, выдавая себя за децентрализованную биржу Uniswap, и, по сообщениям, вывели примерно 400 000 долларов с нескольких кошельков через поддельный сайт. В обоих случаях имела место кража учетных данных в момент входа — именно та уязвимость, которую оставляют системы на основе одноразовых паролей.

Это не единичные крайние случаи. Один криптоинвестор потерял почти 1 миллион долларов после подписания вредоносного фишингового токен-аппрува в сети Ethereum. Другой владелец кошелька, по сообщениям, потерял 1,65 миллиона долларов после подключения к поддельной бирже и подписания контракта, который предоставил злоумышленникам неограниченный доступ к средствам. Модель поведения последовательна, масштабируема и становится все труднее отличимой от легитимных взаимодействий с платформами.

Регуляторное принуждение и ответственность руководства

Возможно, наиболее значимый элемент новой структуры — это то, на кого возлагается ответственность. Комиссия ясно дала понять, что высшее руководство лицензированных платформ несет конечную ответственность за защиту счетов клиентов. Слабые меры кибербезопасности больше не являются пробелом в соблюдении требований, который можно тихо устранить — они являются прямым триггером для привлечения руководства к ответственности, когда происходят потери клиентов.

Ответственность высшего руководства за потери клиентов

Это более строгий стандарт, чем прежние рекомендации. Ранее регуляторные риски для фирм в основном концентрировались вокруг институциональных санкций. Новая структура выводит на первый план отдельных руководителей. Если механизмы аутентификации платформы недостаточны и клиент теряет средства из-за фишинговой атаки, цепочка ответственности теперь напрямую ведет к людям на вершине компании.

Этот сдвиг в распределении ответственности существенно меняет внутреннюю логику. Командам по комплаенсу будет значительно проще получать бюджет и приоритет на модернизацию аутентификации, когда альтернатива — личная ответственность генерального директора или технического директора.

Последствия несоблюдения и операционные требования

Помимо вопроса ответственности, платформы теперь должны внедрить постоянные системы обнаружения и мониторинга, способные в реальном времени выявлять подозрительные входы, сделки и выводы средств. Они также обязаны оперативно уведомлять клиентов о значимой активности по счету — включая события привязки устройств, аномалии при входе и необычные шаблоны транзакций — и регулярно предупреждать пользователей о новых схемах выдачи себя за другие лица.

Фирмы, не уложившиеся в 12-месячный срок, сталкиваются с мерами принудительного воздействия и репутационным ущербом. В жестко регулируемой криптосреде Гонконга, где надежность лицензирования является конкурентным преимуществом, такое сочетание имеет реальный вес.

Что это означает для глобальной криптоиндустрии

Запрет Гонконга не существует в вакууме. ФБР проводит глобальные операции по борьбе с киберпреступностью, нацеленные на сети, построенные на украденных учетных данных. Tether, действуя совместно с подразделением TRON T3, замораживает криптоактивы, связанные с организованными операциями по краже учетных данных. Регуляторные и правоохранительные органы явно движутся в одном направлении — и Гонконг просто сделал шаг быстрее большинства.

Теперь вопрос в том, будут ли регуляторы в Сингапуре, Великобритании и других ключевых юрисдикциях крипторегулирования рассматривать это как шаблон или дождутся, пока их собственная статистика потерь достигнет аналогичного порога. MiCAR, крипторегуляторная рамка ЕС, полностью вступившая в силу 1 июля 2026 года, установила строгие стандарты управления и соблюдения требований — но пока не предписывает использование passkeys конкретно. Разрыв между общими требованиями к кибербезопасности и такого рода мандатом, ориентированным именно на аутентификацию, который только что ввел Гонконг, может стать следующей границей регуляторной конвергенции.

Для криптоплатформ, работающих глобально, практическое последствие уже очевидно: техническая инфраструктура, необходимая для соблюдения требований в Гонконге — passkeys, криптографическая привязка устройств, обнаружение аномалий в реальном времени — это именно то, чего, вероятно, вскоре потребуют регуляторы и в других юрисдикциях. Построить ее сейчас, а не по принципу «для каждой юрисдикции отдельно», может оказаться более рациональным путем вперед.

FAQ

Какие методы входа Гонконг запретил для криптоплатформ?

Комиссия по ценным бумагам и фьючерсам Гонконга запретила одноразовые пароли по SMS, электронной почте и в приложениях для входа на криптовалютные торговые платформы и для привязки устройств.

Какие методы аутентификации требуются вместо одноразовых паролей?

Платформы должны внедрить passkeys, зарегистрированные устройства с криптографической проверкой и аппаратные ключи безопасности — методы, которые Комиссия описывает как устойчивые к фишингу решения, не поддающиеся перехвату с помощью стандартных фишинговых атак.

Каковы сроки для криптоплатформ по соблюдению новых правил?

Операторы имеют 12-месячный срок для соблюдения новых требований к аутентификации. Крупные интернет-брокерские фирмы, однако, должны перейти на новые методы немедленно, без льготного периода.

Каковы последствия для фирм, не выполнивших требования в установленный срок?

Фирмы, не уложившиеся в срок, рискуют столкнуться с регуляторными мерами принудительного воздействия и репутационным ущербом. Кроме того, высшее руководство может быть привлечено к прямой ответственности за потери клиентов, вызванные недостаточными мерами кибербезопасности — это более строгий стандарт ответственности по сравнению с предыдущими рекомендациями.

{«@context»:»https://schema.org»,»@type»:»FAQPage»,»mainEntity»:[{«@type»:»Question»,»name»:»Какие методы входа Гонконг запретил для криптоплатформ?»,»acceptedAnswer»:{«@type»:»Answer»,»text»:»Комиссия по ценным бумагам и фьючерсам Гонконга запретила одноразовые пароли по SMS, электронной почте и в приложениях для входа на криптовалютные торговые платформы и для привязки устройств.»}},{«@type»:»Question»,»name»:»Какие методы аутентификации требуются вместо одноразовых паролей?»,»acceptedAnswer»:{«@type»:»Answer»,»text»:»Платформы должны внедрить passkeys, зарегистрированные устройства с криптографической проверкой и аппаратные ключи безопасности — методы, которые Комиссия описывает как устойчивые к фишингу решения, не поддающиеся перехвату с помощью стандартных фишинговых атак.»}},{«@type»:»Question»,»name»:»Каковы сроки для криптоплатформ по соблюдению новых правил?»,»acceptedAnswer»:{«@type»:»Answer»,»text»:»Операторы имеют 12-месячный срок для соблюдения новых требований к аутентификации. Крупные интернет-брокерские фирмы, однако, должны перейти на новые методы немедленно, без льготного периода.»}},{«@type»:»Question»,»name»:»Каковы последствия для фирм, не выполнивших требования в установленный срок?»,»acceptedAnswer»:{«@type»:»Answer»,»text»:»Фирмы, не уложившиеся в срок, рискуют столкнуться с регуляторными мерами принудительного воздействия и репутационным ущербом. Кроме того, высшее руководство может быть привлечено к прямой ответственности за потери клиентов, вызванные недостаточными мерами кибербезопасности — это более строгий стандарт ответственности по сравнению с предыдущими рекомендациями.»}}]}

Статья подготовлена при содействии искусственного интеллекта и проверена редакционной командой.

RELATED ARTICLES

Stay updated on all the news about cryptocurrencies and the entire world of blockchain.

Featured video

LATEST