Криптоинвесторы в Гонконге вскоре увидят, как способ входа на торговые платформы кардинально изменится. Комиссия по ценным бумагам и фьючерсам Гонконга (Securities and Futures Commission) ввела масштабные новые требования по гонконгскому регулированию крипто‑фишинга, предписав всем платформам для торговли виртуальными активами и онлайн‑брокерам в городе отказаться от одноразовых паролей и заменить их более надежными, устойчивыми к фишингу методами входа — и сделать это в течение 12 месяцев.
Summary
Ключевые выводы
- SFC запретила вход на криптоплатформы и к онлайн‑брокерам с использованием одноразовых паролей (OTP), отправляемых по SMS, email и через приложения, установив 12‑месячный срок для внедрения новых решений.
- К одобренным альтернативам относятся passkeys, зарегистрированные устройства с криптографической проверкой и аппаратные ключи безопасности.
- Фишинговые атаки и мошенничество с использованием методов социальной инженерии привели к убыткам в 306 млн долларов по всей криптоиндустрии только в первом квартале 2026 года, при общих потерях в 482 млн долларов.
- Атаки, связанные с подделкой и мошенничеством, составили 57% всех киберинцидентов, о которых было сообщено в Координационный центр по инцидентам кибербезопасности Гонконга в 2025 году.
- SFC будет привлекать к прямой ответственности высшее руководство лицензированных компаний за убытки клиентов, возникшие из‑за недостаточных внутренних контролей.
Гонконг вводит обязательный устойчивый к фишингу вход для криптоплатформ
Регуляторные меры означают резкий отход от наиболее распространенной формы аутентификации учетных записей в финансовых услугах. Одноразовые пароли — шестизначные коды, доставляемые по SMS, email или через приложения‑аутентификаторы, — долгое время были отраслевым стандартом для двухфакторного входа. Теперь SFC считает их недостаточными против современных фишинговых техник и требует от компаний рассматривать переход как срочную необходимость, а не как опцию.
Особенно крупным интернет‑брокерским компаниям предписано действовать немедленно, а не ждать окончания 12‑месячного периода.
Отказ от одноразовых паролей в течение 12 месяцев
Новый циркуляр запрещает вход с использованием OTP на всех лицензированных платформах. Позиция SFC однозначна: традиционные одноразовые пароли слишком легко перехватить или подделать с помощью социальной инженерии, кампаний спуфинга и фишинговых сайтов, которые обманывают пользователей, заставляя их вводить учетные данные в поддельные интерфейсы.
Регулятор также требует от компаний внедрить системы обнаружения и мониторинга для выявления подозрительной активности при входе, торговле и выводе средств. Платформы должны оперативно уведомлять клиентов о значимых действиях по счету и без промедления реагировать на инциденты взлома. Регулярные предупреждения клиентов о новых схемах выдачи себя за другие лица теперь также являются частью требований по соблюдению норм.
Принципиально важно, что SFC ясно дала понять: высшее руководство несет конечную ответственность за адекватность этих контролей. Компании, чьи внутренние системы окажутся недостаточными, могут быть привлечены к ответственности за последующие убытки клиентов — такая трактовка ответственности придает этому циркуляру реальную силу.
Одобренные методы аутентификации и привязка устройств
SFC определила три категории приемлемых решений, устойчивых к фишингу: passkeys, зарегистрированные устройства с использованием криптографической проверки и аппаратные ключи безопасности. Все три объединяет общий признак — они привязывают аутентификацию к физическому устройству или криптографическому доказательству, которое нельзя легко перехватить или воспроизвести удаленно, даже если пользователь обманом переходит на поддельный сайт.
Такой подход отражает то, как глобально развиваются стандарты аутентификации, устойчивой к фишингу. В отличие от OTP, которые могут быть собраны в режиме реального времени злоумышленниками, проводящими атаки «человек посередине», passkeys и аппаратные ключи требуют фактического владения зарегистрированным устройством. Кода, который можно украсть, просто нет.
Растущие потери от фишинга и мошенничества угрожают криптоинвесторам
SFC приняла это решение не в вакууме. Цифры, стоящие за ним, выглядят весьма тревожно.
Глобальные потери от криптофишинга и недавние схемы
Фишинговые атаки и мошенничество с использованием социальной инженерии привели к убыткам в 306 млн долларов в криптоиндустрии в первом квартале 2026 года — это большая часть от общих потерь сектора в 482 млн долларов за тот же период. К первой половине 2026 года потери, связанные с фишингом, выросли до 366 млн долларов, что подчеркивает ускоряющийся тренд, а не единичный всплеск.
Отдельные инциденты рисуют не менее тревожную картину. Всего за несколько дней до выхода циркуляра SFC один криптоинвестор потерял почти 1 млн долларов после подписания вредоносной фишинговой транзакции на одобрение токена в сети Ethereum. Ранее в том же месяце владелец кошелька потерял 1,65 млн долларов после подключения к поддельной бирже и подписания вредоносного контракта — транзакции, которая предоставила злоумышленникам неограниченный доступ к средствам, по данным исследователя Райана Коулмана. 25 мая ончейн‑аналитик «b-block» сообщил, что мошенники разместили вредоносные объявления Google, выдавая себя за децентрализованную биржу Uniswap, и украли более 400 000 долларов у жертв, которые думали, что переходят на настоящую платформу.
Статистика инцидентов кибербезопасности в Гонконге
На местном уровне профиль угроз не менее серьезен. Данные Координационного центра по инцидентам кибербезопасности Гонконга показывают, что атаки, связанные с подделкой и мошенничеством, составили 57% всех инцидентов безопасности, о которых было сообщено в 2025 году. Такая концентрация риска в одной категории угроз — спуфинг и выдача себя за другое лицо — напрямую соотносится с тем, против чего направлены новые требования SFC.
Сочетание местных данных об инцидентах с глобальными потерями от фишинга делает время принятия этого регулирования легко объяснимым. Крипторынок Гонконга расширяется, и с ростом числа пользователей на лицензированных платформах увеличивается поверхность атаки. Похоже, SFC действует на опережение, прежде чем крупный локальный инцидент вынудит ее к этому.
Реакция отрасли и призывы к усилению безопасности кошельков
Сооснователь Binance выступает за улучшение защиты кошельков
Давление в сторону повышения стандартов безопасности исходит не только от регуляторов. Чанпэн Чжао, сооснователь Binance, публично призвал к улучшению мер безопасности кошельков после того, как инвестор потерял 50 млн долларов в результате схемы отравления адреса в декабре 2025 года. Отравление адреса — это иной вектор атаки, чем фишинг: он работает за счет вставки почти идентичного мошеннического адреса кошелька в историю транзакций жертвы, — но отражает ту же общую картину: злоумышленники используют краткие моменты невнимательности, приводящие к разрушительным финансовым последствиям.
Масштаб этого инцидента и публичный статус человека, обратившего на него внимание, помогли сохранить тему криптобезопасности в центре отраслевой дискуссии накануне 2026 года.
Знаковые схемы отравления адресов, вызывающие тревогу
Отравление адресов привело к некоторым из самых заметных индивидуальных потерь в недавней истории. В мае 2024 года одна жертва потеряла 71 млн долларов в результате атаки с отравлением адреса — необычный случай, который в итоге завершился тем, что злоумышленник вернул всю сумму после того, как следователи заявили, что отследили возможный IP‑адрес. Такой исход был исключением. Большинство жертв в подобных схемах не возвращают ничего.
Мнения экспертов о борьбе с криптофишингом
«Для защиты клиентских счетов от все более сложных и меняющихся атак, связанных с подделкой и мошенничеством, необходимо внедрять комплексные меры в сочетании с профилактикой, обнаружением, реагированием и обучением», — заявил Е Чжихэн, исполнительный директор Департамента посредников Китайской комиссии по регулированию ценных бумаг.
Такое видение важно. Профилактика с помощью более надежной аутентификации — лишь один уровень. Системы обнаружения, оперативное реагирование на инциденты и постоянное обучение пользователей составляют остальную часть подхода, который регуляторы теперь считают необходимым. Циркуляр SFC отражает это многоуровневое мышление — он не просто предписывает внедрить более совершенную технологию входа и на этом останавливается. Он требует от компаний выстроить целостную систему безопасности — от экрана входа до коммуникации с клиентом.
Чего регулирование пока не проясняет, так это того, как более мелкие платформы для торговли виртуальными активами смогут справиться со стоимостью и технической сложностью внедрения аппаратных ключей безопасности и криптографической привязки устройств в масштабах. 12‑месячный период дает компаниям время на планирование, но разрыв между крупным лицензированным брокером и небольшим VATP с точки зрения возможностей в области инженерии безопасности реален. То, как SFC будет учитывать этот дисбаланс — и будут ли санкции за несоблюдение пропорциональными, — может определить, насколько эффективным окажется этот мандат на практике.
FAQ
Какие новые требования к входу на платформы ввела Комиссия по ценным бумагам и фьючерсам Гонконга для криптоплатформ?
SFC требует от криптоплатформ и онлайн‑брокеров внедрить методы аутентификации, устойчивые к фишингу, — в частности passkeys, зарегистрированные устройства с криптографической проверкой и аппаратные ключи безопасности — одновременно запрещая одноразовые пароли, доставляемые по SMS, email или через приложения. У компаний есть 12 месяцев на внедрение изменений, хотя крупным интернет‑брокерам предписано действовать немедленно.
Почему эти новые методы входа, устойчивые к фишингу, вводятся именно сейчас?
Мандат последовал за резким ростом фишинговых атак и мошенничества с использованием социальной инженерии, которые привели к убыткам в 306 млн долларов по всей криптоиндустрии в первом квартале 2026 года, а также на фоне данных о том, что атаки, связанные с подделкой и мошенничеством, составили 57% киберинцидентов, о которых было сообщено в Гонконге в 2025 году. SFC считает OTP недостаточными с учетом сложности современных методов атак.
Какие альтернативы одноразовым паролям принял гонконгский регулятор?
SFC одобрила три категории решений, устойчивых к фишингу: passkeys, зарегистрированные устройства с криптографической проверкой и аппаратные ключи безопасности. Эти методы привязывают аутентификацию к физическому устройству или криптографическому доказательству, что делает их значительно более устойчивыми к перехвату, даже через поддельные сайты или социальную инженерию.
Какова была реакция криптоиндустрии на эти фишинговые угрозы?
Лидеры отрасли, включая сооснователя Binance Чанпэна Чжао, призвали к усилению безопасности кошельков после резонансных инцидентов, включая схему отравления адреса на 50 млн долларов в декабре 2025 года. Действия SFC формализуют то, за что видные фигуры в индустрии неформально выступали в течение нескольких месяцев.
{«@context»:»https://schema.org»,»@type»:»FAQPage»,»mainEntity»:[{«@type»:»Question»,»name»:»Какие новые требования к входу на платформы ввела Комиссия по ценным бумагам и фьючерсам Гонконга для криптоплатформ?»,»acceptedAnswer»:{«@type»:»Answer»,»text»:»SFC требует от криптоплатформ и онлайн‑брокеров внедрить методы аутентификации, устойчивые к фишингу, — в частности passkeys, зарегистрированные устройства с криптографической проверкой и аппаратные ключи безопасности — одновременно запрещая одноразовые пароли, доставляемые по SMS, email или через приложения. У компаний есть 12 месяцев на внедрение изменений, хотя крупным интернет‑брокерам предписано действовать немедленно.»}},{«@type»:»Question»,»name»:»Почему эти новые методы входа, устойчивые к фишингу, вводятся именно сейчас?»,»acceptedAnswer»:{«@type»:»Answer»,»text»:»Мандат последовал за резким ростом фишинговых атак и мошенничества с использованием социальной инженерии, которые привели к убыткам в 306 млн долларов по всей криптоиндустрии в первом квартале 2026 года, а также на фоне данных о том, что атаки, связанные с подделкой и мошенничеством, составили 57% киберинцидентов, о которых было сообщено в Гонконге в 2025 году. SFC считает OTP недостаточными с учетом сложности современных методов атак.»}},{«@type»:»Question»,»name»:»Какие альтернативы одноразовым паролям принял гонконгский регулятор?»,»acceptedAnswer»:{«@type»:»Answer»,»text»:»SFC одобрила три категории решений, устойчивых к фишингу: passkeys, зарегистрированные устройства с криптографической проверкой и аппаратные ключи безопасности. Эти методы привязывают аутентификацию к физическому устройству или криптографическому доказательству, что делает их значительно более устойчивыми к перехвату, даже через поддельные сайты или социальную инженерию.»}},{«@type»:»Question»,»name»:»Какова была реакция криптоиндустрии на эти фишинговые угрозы?»,»acceptedAnswer»:{«@type»:»Answer»,»text»:»Лидеры отрасли, включая сооснователя Binance Чанпэна Чжао, призвали к усилению безопасности кошельков после резонансных инцидентов, включая схему отравления адреса на 50 млн долларов в декабре 2025 года. Действия SFC формализуют то, за что видные фигуры в индустрии неформально выступали в течение нескольких месяцев.»}}]}
Статья подготовлена при содействии искусственного интеллекта и проверена редакционной командой.

