Cybersikkerhedskrav fra Hong Kongs SFC
Hong Kongs Securities and Futures Commission (SFC) har beordret licenserede kryptovaluta-handelsplatforme og online mæglere til at erstatte SMS-baseret godkendelse med phishing-resistente loginmetoder inden for de næste 12 måneder. Ifølge SFC skal virtuelle aktivhandelsplatforme (VATPs) og online mæglere stoppe med at stole på engangskoder, der leveres via SMS, e-mail eller app-genererede koder, og i stedet vedtage stærkere godkendelsessystemer, der er sværere for angribere at kompromittere.
Opdaterede standarder for beskyttelse af kundekonti
Regulatoren annoncerede de nye cybersikkerhedskrav som en del af opdaterede standarder for beskyttelse af kundekonti. Under den nye ramme vil virksomheder være forpligtet til at introducere phishing-resistente godkendelsesmetoder sammen med enhedsbinding. SFC identificerede adgangsnøgler, registrerede enheder sikret gennem kryptografisk verifikation og hardware-sikkerhedsnøgler som acceptable alternativer. Alle licenserede platforme skal gennemføre overgangen inden for et år.
Udvidelse af det regulerede digitale aktivmarked
De seneste regler kommer, mens Hong Kong fortsætter med at udvide sit regulerede digitale aktivmarked og hæve driftsstandarderne for licenserede virksomheder. Tidligere på ugen annoncerede SFC også ændringer til programmet for Certified Virtual Asset Platform Practitioner efter drøftelser med brancherepræsentanter. Regulatoren forpligtede sig til at adskille certificeringseksamen fra det obligatoriske kursus, sænke vurderingsgebyrerne og forbedre studiematerialerne.
Regulering af stablecoins
Certificeringsprogrammet for virtuelle aktivprofessionelle, der administreres af Hong Kongs Securities and Investment Institute (HKSI) under SFC-standarder, fungerer som Hong Kongs professionelle kvalifikation for den digitale aktivsektor. Programmet dækker blockchain-fundamentals, digitale aktivprodukter og overholdelse af anti-hvidvaskningslovgivning.
Den seneste reguleringsaktivitet har strakt sig ud over licensering og professionelle standarder. I sidste måned bekræftede Hong Kong, at de første regulerede stablecoins forventes at komme i cirkulation mellem midten og anden halvdel af 2026, efter at Hong Kongs Monetary Authority har givet udstederlicenser til to bankunderstøttede institutioner i april.
Stigende phishing- og svindelrisici
Når vi vender tilbage til cybersikkerhedsforanstaltningerne, sagde SFC, at de stærkere godkendelseskrav svarer til de voksende phishing- og svindelrisici, der påvirker finansielle platforme. Data citeret af regulatoren viste, at forfalskning og svindel udgjorde 57% af sikkerhedshændelserne rapporteret til Hong Kongs Cyber Security Accident Coordination Center i 2025.
Dr. Ye Zhiheng, administrerende direktør for Intermediaries Department i China Securities Regulatory Commission, sagde, at finansielle institutioner har brug for koordinerede forebyggelses-, detektions-, reaktions- og uddannelsesforanstaltninger for at beskytte kundekonti mod stadig mere sofistikerede svindelangreb.
Seneste hændelser og tab
SFC’s beslutning følger en anden periode med store tab relateret til phishing og social engineering-angreb i kryptovalutaindustrien. Branchedata viste, at phishing-angreb og social engineering-svindel udgjorde $306 millioner af kryptovaluta-sektorens samlede sikkerhedstab på $482 millioner i første kvartal af 2026.
For nylig mistede en kryptovaluta-investor angiveligt næsten $1 million efter at have godkendt en ondsindet phishing-token-transaktion på Ethereum, hvilket bidrog til phishing-relaterede tab, der nåede $366 millioner i første halvdel af 2026. Separate hændelser har fortsat gennem året.
Forskeren Ryan Coleman rapporterede, at en wallet-ejer mistede omkring $1,65 millioner efter at have tilsluttet sig en falsk kryptovaluta-børs og underskrevet en ondsindet kontrakt, der gav angriberne ubegribelig adgang til wallet’en.
Advarsler fra branchen
Godkendelsen gav angriberne ubegribelig adgang, hvilket gjorde det muligt for en automatiseret sweeper at tømme midler. Bekræft altid kontrakter og tilbagekald ubrugte token-godkendelser. Tidligere, den 25. maj, advarede on-chain-analytiker b-block om, at svindlere havde brugt Google-annoncer til at udgive sig for den decentrale børs Uniswap, hvor kampagnen angiveligt stjal mere end $400.000 fra ofrene.
Opfordringer til stærkere wallet-sikkerhed er også kommet fra branchen. Binance-medstifter Changpeng Zhao opfordrede tidligere brugere til at vedtage bedre sikkerhedspraksis, efter at en investor mistede $50 millioner i et adresseforgiftning-svindel i december 2025.