
香港證券及期貨事務監察委員會(證監會)已指示網路經紀商和持牌虛擬資產交易平台營運商(VATP)採用防釣魚認證方法進行客戶登入和設備綁定,以加強網路安全,因為釣魚攻擊持續針對投資者帳戶。
根據7月9日發布的通函,各公司必須逐步停止使用一次性密碼(OTP)進行登入和設備綁定,並以更強大的身份驗證方式(例如通行密鑰和綁定設備)取而代之。證監會表示,所有持牌公司應盡快實施新措施,最遲不得晚於通函發布後12個月,而大型網路經紀商則應立即採用。
除了加強身分驗證外,監管機構還希望各公司加強監控系統,以便能夠偵測可疑的登入嘗試、交易活動和提款,及時通知客戶重大帳戶事件,快速應對駭客攻擊事件,並定期向客戶普及有關新興網路釣魚和網路安全威脅的知識。
證監會也提醒高階管理層,他們最終有責任保障客戶帳戶和資產的安全,並警告稱,如果網路安全控制措施不足導致客戶損失,公司可能要承擔責任。
此舉源自於人們對網路釣魚攻擊日益增長的擔憂,根據統計,2025年香港電腦緊急應變小組協調中心接到的所有安全事件報告中,57%為網路釣魚攻擊。此外,此舉也符合證監會2025年2月發布的指引,該指引鼓勵持牌公司放棄基於一次性密碼的身份驗證方式。