Гонконг дал криптоплатформам год на отказ от SMS-кодов или возмещение убытков пользователей

гонконг криптоплатформы Sfc фишинг Otp безопасность cryptoslate.com

SFC требует устойчивый к фишингу вход и привязку устройств к 8 июля 2027 года, а обязанности по мониторингу и реагированию вступают в силу немедленно.

Криптоплатформы Гонконга должны до 8 июля 2027 года отказаться от одноразовых паролей для входа клиентов и регистрации устройств в соответствии с новыми правилами безопасности.

К этому сроку лицензированные поставщики услуг виртуальных активов и интернет-брокеры обязаны использовать аутентификацию, устойчивую к фишингу, для входа клиентов и регистрации или привязки устройств, согласно циркуляру от 9 июля.

Регулятор заявил, что одноразовые пароли (OTP) не соответствуют этому стандарту и не должны использоваться для этих двух процессов.

Правило применяется только при входе клиентов или подключении нового устройства, оставляя другие случаи использования OTP без изменений.

Компаниям не нужно заставлять существующих клиентов перепривязывать уже подключенные устройства. Крупные интернет-брокеры должны немедленно внедрить более надежные методы, в то время как более широкая группа имеет 12-месячный период внедрения.

Меры контроля вокруг этих входов вступают в силу с самого начала. Компании должны уже сейчас пересмотреть и улучшить уведомления клиентов, мониторинг счетов, наблюдение и процедуры реагирования на инциденты.

SFC требует от компаний приостанавливать или ограничивать доступ к счету, как только они замечают признаки мошенничества.

Срок с ответственностью

Гонконг дал криптоплатформам год на отказ от SMS-кодов или возмещение убытков пользователей

Распоряжение последовало за фишинговыми кампаниями, о которых сообщалось в 2025 году. Мошенники рассылали текстовые сообщения со ссылками, которые выдавали себя за брокеров и якобы были запросами от регуляторов или государственных органов.

Клиенты передавали учетные данные и одноразовые пароли на поддельных сайтах, давая злоумышленникам возможность перехватывать сессии и выводить средства.

SFC хочет, чтобы компании отслеживали необычные входы, активность новых устройств, торговлю, отклоняющуюся от истории клиента, а также вывод средств или виртуальных активов.

Клиенты должны получать своевременные уведомления об успешных входах и изменениях с повышенным риском, включая новые устройства и создание или отзыв passkeys.

Passkeys используют криптографию с открытым ключом вместо многократно используемого секрета, который клиент может ввести на поддельном сайте.

Учетные данные предназначены для работы только с легитимным сервисом, в то время как закрытый ключ остается на устройстве пользователя или в менеджере passkeys.

SFC также принимает привязку устройств, основанную на надежной проверке, с дополнительным фактором, таким как биометрическая проверка или пароль учетной записи.

Регулятор увязал эти меры защиты с обязанностью компаний защищать клиентов от краж и мошенничества.

Он заявил, что компания может быть привлечена к ответственности за потери клиентов, если недостаточные меры не смогут предотвратить, обнаружить и остановить крупномасштабные несанкционированные транзакции после взлома.

Старшие менеджеры, отвечающие за общие операции и информационные технологии, несут конечную ответственность за внедрение.

Настоящее испытание наступит к июлю 2027 года, когда платформы должны будут отказаться от OTP в ключевых точках входа, одновременно улучшив обнаружение мошенничества, чтобы защитить клиентов во время этого изменения.

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

В тренде:

Похожие новости: