ความพยายามของฮ่องกงในการยกระดับความปลอดภัยด้านคริปโตเพิ่งก้าวไปสู่ขั้นตอนที่เป็นรูปธรรมและมีผลกระทบอย่างชัดเจน เมืองนี้ผ่านทาง คณะกรรมการกำกับหลักทรัพย์และสัญญาซื้อขายล่วงหน้า ได้ออกหนังสือเวียนสั่งห้ามการเข้าสู่ระบบด้วยรหัสผ่านแบบใช้ครั้งเดียว (OTP) ในทุกแพลตฟอร์มซื้อขายคริปโตและโบรกเกอร์ออนไลน์ทั้งหมดโดยเด็ดขาด — ซึ่งเป็นการตอบสนองโดยตรงต่อการระบาดของฟิชชิงที่กำลัง ดูดเงินออกจากบัญชีผู้ใช้ อย่างเงียบ ๆ และสร้างภาระอย่างหนักให้กับ โครงสร้างพื้นฐานด้านความปลอดภัยไซเบอร์ ของภูมิภาค
Summary
ประเด็นสำคัญ
- SFC ของฮ่องกงได้สั่งห้ามการเข้าสู่ระบบด้วย OTP ผ่าน SMS อีเมล และแอป สำหรับแพลตฟอร์มคริปโตและโบรกเกอร์ออนไลน์ โดยกำหนดให้ต้องใช้ passkey หรือวิธีการอื่นที่ทนทานต่อฟิชชิงแทน
- ผู้ให้บริการมีเส้นตาย 12 เดือนในการปฏิบัติตาม ขณะที่โบรกเกอร์รายใหญ่ต้องดำเนินการทันที
- ฮ่องกงบันทึกเหตุการณ์ด้านความปลอดภัยไซเบอร์15,877 เหตุการณ์ในปี 2025 — เพิ่มขึ้น 27% จากปีก่อน — โดยฟิชชิงคิดเป็น 57% ของกรณีทั้งหมด
- ผู้บริหารระดับสูงของแพลตฟอร์มที่ได้รับใบอนุญาตขณะนี้ต้องรับผิดชอบส่วนบุคคลโดยตรงต่อความสูญเสียของลูกค้าที่เชื่อมโยงกับการควบคุมการยืนยันตัวตนที่อ่อนแอ
- การโจมตีแบบฟิชชิงล่าสุดได้ดูดเงิน12,300 ดอลลาร์จากผู้ใช้ HyperSwap และประมาณ400,000 ดอลลาร์จากเว็บไซต์ปลอมของ Uniswap แสดงให้เห็นถึงขนาดของภัยคุกคาม
ฮ่องกงสั่งห้ามการเข้าสู่ระบบด้วย OTP เพื่อรับมือความเสี่ยงจากฟิชชิง
หนังสือเวียนของ SFC มีถ้อยคำที่ตรงไปตรงมาอย่างผิดปกติสำหรับหน่วยงานกำกับดูแลด้านการเงิน: หยุดใช้รหัสผ่านแบบใช้ครั้งเดียว และหากคุณเป็นโบรกเกอร์รายใหญ่ให้ทำทันที สำหรับผู้ให้บริการรายเล็ก ช่วงเวลาผ่อนผันคือ 12 เดือนนับจากวันที่ออกหนังสือเวียน ไม่มีความคลุมเครือและไม่มีการกล่าวถึงกลไกการขยายเวลา
รายละเอียดของการห้ามใช้ OTP และข้อกำหนดการยืนยันตัวตนแบบใหม่
คำสั่งห้ามครอบคลุมรูปแบบ OTP ที่ใช้กันทั่วไปทุกประเภท — รหัสผ่านผ่าน SMS ลิงก์ยืนยันทางอีเมล และโทเคนที่สร้างจากแอป — ซึ่งเป็นการถอดชั้นการรักษาความปลอดภัยในการเข้าสู่ระบบที่คุ้นเคยที่สุดชั้นหนึ่งในบริการทางการเงินออกไป แทนที่ด้วยข้อกำหนดให้แพลตฟอร์มต้องใช้ passkey อุปกรณ์ที่ลงทะเบียนพร้อมการยืนยันด้วยการเข้ารหัส และกุญแจรักษาความปลอดภัยแบบฮาร์ดแวร์ SFC อธิบายสิ่งเหล่านี้รวมกันว่าเป็นโซลูชันที่ทนทานต่อฟิชชิง หมายความว่าได้รับการออกแบบมาให้ไม่สามารถใช้งานได้แม้ผู้ใช้จะถูกหลอกให้เข้าเว็บไซต์ปลอม
“เพื่อปกป้องบัญชีลูกค้าจากการโจมตีแบบฟิชชิงที่มีความซับซ้อนและหลากหลายมากขึ้น จำเป็นต้องมีแนวทางแบบองค์รวมที่ผสานการป้องกัน การตรวจจับ การตอบสนอง และการให้ความรู้เข้าด้วยกัน” ดร. ยิป จื้อหัง ผู้อำนวยการบริหารฝ่ายตัวกลางของ SFC กล่าว พร้อมเสริมว่าสถาบันที่ได้รับใบอนุญาตจำเป็นต้องเสริมความแข็งแกร่งให้กับแนวป้องกันด่านแรกผ่านการยืนยันตัวตนที่แข็งแรง และตอบสนองอย่างรวดเร็วก่อนที่ความเสียหายจะเกิดขึ้น
ตรรกะพื้นฐานนั้นตรงไปตรงมา: OTP สามารถถูกดักจับหรือส่งต่อแบบเรียลไทม์โดยเว็บไซต์ฟิชชิงได้ แต่ passkey และการผูกอุปกรณ์ด้วยการเข้ารหัสทำไม่ได้ ผู้โจมตีที่หลอกให้ผู้ใช้กรอกรหัสแบบใช้ครั้งเดียวบนหน้าเว็บของเอ็กซ์เชนจ์ปลอมจะได้ทุกอย่างที่ต้องการ ขณะที่ผู้โจมตีที่เจอกับการเข้าสู่ระบบที่ผูกกับ passkey จะไม่ได้ข้อมูลที่นำไปใช้ประโยชน์ได้เลย
เส้นตายการปฏิบัติตามและผลกระทบทันทีต่อโบรกเกอร์รายใหญ่
กรอบเวลา 12 เดือนใช้ครอบคลุมผู้ให้บริการส่วนใหญ่ แต่บริษัทโบรกเกอร์ออนไลน์รายใหญ่ต้องเผชิญการตรวจสอบทันทีโดยไม่มีช่วงผ่อนผัน ถ้อยคำของ SFC ที่ว่า “โดยเร็วที่สุดเท่าที่จะเป็นไปได้” สะท้อนว่าหน่วยงานคาดหวังให้สถาบันขนาดใหญ่ปฏิบัติต่อเรื่องนี้ในฐานะภาวะฉุกเฉินด้านการดำเนินงาน ไม่ใช่เพียงหมุดหมายของโครงการในอนาคต บริษัทที่พลาดเส้นตายเสี่ยงต่อการถูกดำเนินการทางกฎหมายและความเสียหายด้านชื่อเสียง ซึ่งเป็นส่วนผสมที่อาจกระทบทั้งสถานะด้านกฎระเบียบและความเชื่อมั่นของลูกค้าในตลาดที่ความน่าเชื่อถือของใบอนุญาตคือทุกสิ่ง
การโจมตีแบบฟิชชิงและภัยคุกคามไซเบอร์ที่เพิ่มขึ้นในฮ่องกง
ตัวเลขเบื้องหลังข้อบังคับนี้ชัดเจนอย่างยิ่ง ฮ่องกงบันทึกเหตุการณ์ด้านความปลอดภัยไซเบอร์ 15,877 เหตุการณ์ในปี 2025 เพิ่มขึ้น 27% จากปีก่อนหน้า — และมากกว่าสองเท่าของ 7,752 เหตุการณ์ที่บันทึกในปี 2023 การโจมตีแบบฟิชชิงและสปูฟคิดเป็น 57% ของกรณีที่รายงานทั้งหมด ตามข้อมูลจากศูนย์ประสานงานเหตุการณ์ความปลอดภัยไซเบอร์ฮ่องกงที่ถูกอ้างถึงในแถลงการณ์ของ SFC
การพุ่งสูงของเหตุการณ์ไซเบอร์ที่ขับเคลื่อนโดยฟิชชิง
อัตราเร่งนี้น่าจับตามอง จากประมาณ 7,752 เหตุการณ์ในปี 2023 ไปสู่เกือบ 16,000 เหตุการณ์ในอีกสองปีถัดมา สะท้อนปัญหาเชิงโครงสร้าง ไม่ใช่ความผันผวนทางสถิติ การโจมตีแบบบอตเน็ตตามมาที่ 18% ของกรณี และมัลแวร์ที่ 15% แต่ฟิชชิงคือหัวใจของความกังวลของ SFC — เพราะมันคือเวกเตอร์การโจมตีที่ได้รับการเอื้อโดยตรงจากระบบเข้าสู่ระบบที่ใช้ OTP
ในระดับโลก ภาพรวมก็ไม่น่าไว้วางใจเช่นกัน การโจมตีแบบฟิชชิงและกลโกงวิศวกรรมสังคมคิดเป็น306 ล้านดอลลาร์จากความสูญเสียรวม 482 ล้านดอลลาร์ของอุตสาหกรรมคริปโตในไตรมาสแรกของปี 2026 เพียงอย่างเดียว ครึ่งปีแรกมียอดความสูญเสียที่เกี่ยวข้องกับฟิชชิงรวม 366 ล้านดอลลาร์ ตามข้อมูลการติดตามของอุตสาหกรรมที่ถูกอ้างถึงในรายงานประกอบ
กรณีการขโมยคริปโตที่โดดเด่นซึ่งเชื่อมโยงกับกลโกงฟิชชิง
สองกรณีล่าสุดแสดงให้เห็นอย่างชัดเจนว่าสิ่งที่ SFC พยายามหยุดคืออะไร กลโกงฟิชชิงแบบ airdrop ปลอมได้ดูดเงิน12,300 ดอลลาร์จากผู้ใช้ HyperSwap ภายในเวลาไม่ถึง 90 วินาที ในช่วงเวลาใกล้เคียงกัน กลุ่มมิจฉาชีพได้ใช้โฆษณา Google ที่เป็นอันตรายปลอมเป็นแพลตฟอร์มแลกเปลี่ยนแบบกระจายศูนย์ Uniswap โดย reportedly ดูดเงินประมาณ400,000 ดอลลาร์จากหลายกระเป๋าเงินผ่านเว็บไซต์ปลอม ทั้งสองกรณีเกี่ยวข้องกับการขโมยข้อมูลยืนยันตัวตนในช่วงเวลาที่เข้าสู่ระบบ — ซึ่งเป็นช่องโหว่ที่ระบบ OTP เปิดทิ้งไว้โดยตรง
กรณีเหล่านี้ไม่ใช่เหตุการณ์ปลายสุดของสเปกตรัม นักลงทุนคริปโตรายหนึ่งสูญเสียเงินเกือบ 1 ล้านดอลลาร์หลังจากลงนามอนุมัติโทเคนฟิชชิงที่เป็นอันตรายบน Ethereum ผู้ถือกระเป๋าเงินอีกราย reportedly สูญเสีย 1.65 ล้านดอลลาร์หลังจากเชื่อมต่อกับเอ็กซ์เชนจ์ปลอมและลงนามในสัญญาที่ให้สิทธิ์ผู้โจมตีเข้าถึงเงินทุนแบบไม่จำกัด รูปแบบนี้มีความสม่ำเสมอ ขยายตัวได้ และยิ่งยากขึ้นเรื่อย ๆ ที่จะแยกแยะออกจากการโต้ตอบกับแพลตฟอร์มที่ถูกต้อง
การบังคับใช้กฎระเบียบและความรับผิดชอบของฝ่ายบริหาร
องค์ประกอบที่อาจมีผลกระทบมากที่สุดของกรอบใหม่คือการกำหนดว่าความรับผิดชอบตกอยู่ที่ใคร SFC ระบุอย่างชัดเจนว่าผู้บริหารระดับสูงของแพลตฟอร์มที่ได้รับใบอนุญาตต้องรับผิดชอบสูงสุดต่อการปกป้องบัญชีลูกค้า การควบคุมความปลอดภัยไซเบอร์ที่อ่อนแอไม่ใช่ช่องว่างด้านการปฏิบัติตามกฎที่จะแก้ไขอย่างเงียบ ๆ อีกต่อไป — แต่เป็นตัวจุดชนวนโดยตรงให้เกิดความรับผิดของฝ่ายบริหารเมื่อเกิดความสูญเสียของลูกค้า
ความรับผิดของผู้บริหารระดับสูงต่อความสูญเสียของลูกค้า
นี่เป็นมาตรฐานที่เข้มงวดกว่าคำแนะนำก่อนหน้า เดิมที ความเสี่ยงด้านกฎระเบียบของบริษัทมุ่งเน้นไปที่บทลงโทษในระดับสถาบันเป็นหลัก กรอบใหม่ดึงผู้บริหารแต่ละคนเข้ามาอยู่ในกรอบความรับผิด หากการควบคุมการยืนยันตัวตนของแพลตฟอร์มไม่เพียงพอและลูกค้าสูญเสียเงินจากการโจมตีแบบฟิชชิง สายโซ่ความรับผิดชอบจะเชื่อมตรงไปยังผู้บริหารระดับสูงของบริษัท
การเปลี่ยนแปลงด้านความรับผิดนี้ทำให้สมการภายในองค์กรเปลี่ยนไปอย่างมีนัยสำคัญ ทีมกำกับดูแลจะหางบประมาณและลำดับความสำคัญสำหรับการอัปเกรดระบบยืนยันตัวตนได้ง่ายขึ้นมาก เมื่อทางเลือกอีกด้านคือความรับผิดส่วนบุคคลของ CEO หรือ CTO
ผลที่ตามมาจากการไม่ปฏิบัติตามและข้อกำหนดด้านการดำเนินงาน
นอกเหนือจากประเด็นความรับผิดแล้ว แพลตฟอร์มยังต้องติดตั้งระบบตรวจจับและเฝ้าระวังอย่างต่อเนื่องที่สามารถระบุการเข้าสู่ระบบ การซื้อขาย และการถอนที่น่าสงสัยแบบเรียลไทม์ พวกเขายังต้องแจ้งเตือนลูกค้าอย่างทันท่วงทีเมื่อมีกิจกรรมสำคัญในบัญชี — ครอบคลุมเหตุการณ์การผูกอุปกรณ์ ความผิดปกติในการเข้าสู่ระบบ และรูปแบบธุรกรรมที่ผิดปกติ — และต้องเตือนผู้ใช้อย่างสม่ำเสมอเกี่ยวกับกลโกงการปลอมแปลงตัวตนรูปแบบใหม่ ๆ
บริษัทที่พลาดเส้นตาย 12 เดือนจะเผชิญการบังคับใช้กฎและความเสียหายด้านชื่อเสียง ในสภาพแวดล้อมคริปโตที่มีการกำกับดูแลอย่างเข้มงวดของฮ่องกง ซึ่งความน่าเชื่อถือของใบอนุญาตเป็นปัจจัยสร้างความได้เปรียบในการแข่งขัน การผสมผสานของปัจจัยเหล่านี้มีน้ำหนักอย่างแท้จริง
สิ่งที่เรื่องนี้หมายถึงสำหรับอุตสาหกรรมคริปโตทั่วโลก
คำสั่งห้ามของฮ่องกงไม่ได้เกิดขึ้นอย่างโดดเดี่ยว FBI กำลังดำเนินการปราบปรามอาชญากรรมไซเบอร์ระดับโลกที่มุ่งเป้าไปยังเครือข่ายที่สร้างขึ้นจากข้อมูลยืนยันตัวตนที่ถูกขโมย Tether ซึ่งดำเนินงานร่วมกับหน่วย T3 ของ TRON ได้ทำการอายัดสินทรัพย์คริปโตที่เชื่อมโยงกับปฏิบัติการขโมยข้อมูลยืนยันตัวตนอย่างเป็นระบบ ชุมชนด้านกฎระเบียบและการบังคับใช้กฎหมายกำลังเคลื่อนไปในทิศทางเดียวกันอย่างชัดเจน — และฮ่องกงเพิ่งเคลื่อนไหวเร็วกว่าหลายแห่ง
คำถามตอนนี้คือหน่วยงานคู่ขนานในสิงคโปร์ สหราชอาณาจักร และเขตอำนาจกำกับดูแลคริปโตหลักอื่น ๆ จะมองสิ่งนี้เป็นต้นแบบหรือรอให้สถิติความสูญเสียของตนเองแตะระดับใกล้เคียงกัน MiCAR กรอบกฎระเบียบคริปโตของสหภาพยุโรปที่มีผลบังคับใช้อย่างเต็มรูปแบบเมื่อวันที่ 1 กรกฎาคม 2026 ได้กำหนดมาตรฐานด้านธรรมาภิบาลและการปฏิบัติตามกฎที่เข้มงวด — แต่ยังไม่ได้บังคับใช้ passkey โดยเฉพาะ ช่องว่างระหว่างข้อกำหนดด้านความปลอดภัยไซเบอร์ทั่วไปกับคำสั่งเฉพาะด้านการยืนยันตัวตนแบบที่ฮ่องกงเพิ่งออก อาจกลายเป็นสมรภูมิถัดไปของการบรรจบกันด้านกฎระเบียบ
สำหรับแพลตฟอร์มคริปโตที่ดำเนินงานทั่วโลก ผลในทางปฏิบัติเริ่มเห็นได้ชัดแล้ว: โครงสร้างพื้นฐานทางเทคนิคที่จำเป็นเพื่อให้ปฏิบัติตามในฮ่องกง — passkey การผูกอุปกรณ์ด้วยการเข้ารหัส การตรวจจับความผิดปกติแบบเรียลไทม์ — คือสิ่งเดียวกับที่หน่วยงานกำกับดูแลที่อื่นมีแนวโน้มจะเรียกร้องต่อไป การสร้างสิ่งเหล่านี้ตั้งแต่ตอนนี้ แทนที่จะทำแบบแยกตามแต่ละเขตอำนาจศาล อาจเป็นเส้นทางที่มีเหตุผลมากกว่า
คำถามที่พบบ่อย
ฮ่องกงสั่งห้ามวิธีการเข้าสู่ระบบแบบใดสำหรับแพลตฟอร์มคริปโตบ้าง?
คณะกรรมการกำกับหลักทรัพย์และสัญญาซื้อขายล่วงหน้าของฮ่องกงได้สั่งห้ามการใช้รหัสผ่านแบบใช้ครั้งเดียวผ่าน SMS อีเมล และแอป สำหรับการเข้าสู่ระบบแพลตฟอร์มซื้อขายคริปโตและการผูกอุปกรณ์
ต้องใช้วิธีการยืนยันตัวตนแบบใดแทน OTP?
แพลตฟอร์มต้องใช้ passkey อุปกรณ์ที่ลงทะเบียนพร้อมการยืนยันด้วยการเข้ารหัส และกุญแจรักษาความปลอดภัยแบบฮาร์ดแวร์ — ซึ่ง SFC อธิบายว่าเป็นโซลูชันที่ทนทานต่อฟิชชิงและไม่สามารถถูกดักจับผ่านการโจมตีแบบฟิชชิงมาตรฐานได้
เส้นตายสำหรับแพลตฟอร์มคริปโตในการปฏิบัติตามกฎใหม่คือเมื่อใด?
ผู้ให้บริการมีเส้นตาย 12 เดือนในการปฏิบัติตามข้อกำหนดการยืนยันตัวตนแบบใหม่ อย่างไรก็ตาม บริษัทโบรกเกอร์ออนไลน์รายใหญ่ต้องเปลี่ยนไปใช้วิธีการใหม่ทันทีโดยไม่มีช่วงผ่อนผัน
ผลที่ตามมาสำหรับบริษัทที่ไม่สามารถปฏิบัติตามเส้นตายคืออะไร?
บริษัทที่พลาดเส้นตายเสี่ยงต่อการถูกดำเนินการทางกฎระเบียบและความเสียหายด้านชื่อเสียง นอกจากนี้ ผู้บริหารระดับสูงยังอาจถูกถือว่าต้องรับผิดโดยตรงต่อความสูญเสียของลูกค้าที่เกิดจากการควบคุมความปลอดภัยไซเบอร์ที่ไม่เพียงพอ — ซึ่งเป็นมาตรฐานความรับผิดที่เข้มงวดกว่าคำแนะนำก่อนหน้า
{“@context”:”https://schema.org”,”@type”:”FAQPage”,”mainEntity”:[{“@type”:”Question”,”name”:”ฮ่องกงสั่งห้ามวิธีการเข้าสู่ระบบแบบใดสำหรับแพลตฟอร์มคริปโตบ้าง?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”คณะกรรมการกำกับหลักทรัพย์และสัญญาซื้อขายล่วงหน้าของฮ่องกงได้สั่งห้ามการใช้รหัสผ่านแบบใช้ครั้งเดียวผ่าน SMS อีเมล และแอป สำหรับการเข้าสู่ระบบแพลตฟอร์มซื้อขายคริปโตและการผูกอุปกรณ์.”}},{“@type”:”Question”,”name”:”ต้องใช้วิธีการยืนยันตัวตนแบบใดแทน OTP?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”แพลตฟอร์มต้องใช้ passkey อุปกรณ์ที่ลงทะเบียนพร้อมการยืนยันด้วยการเข้ารหัส และกุญแจรักษาความปลอดภัยแบบฮาร์ดแวร์ — ซึ่ง SFC อธิบายว่าเป็นโซลูชันที่ทนทานต่อฟิชชิงและไม่สามารถถูกดักจับผ่านการโจมตีแบบฟิชชิงมาตรฐานได้.”}},{“@type”:”Question”,”name”:”เส้นตายสำหรับแพลตฟอร์มคริปโตในการปฏิบัติตามกฎใหม่คือเมื่อใด?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”ผู้ให้บริการมีเส้นตาย 12 เดือนในการปฏิบัติตามข้อกำหนดการยืนยันตัวตนแบบใหม่ อย่างไรก็ตาม บริษัทโบรกเกอร์ออนไลน์รายใหญ่ต้องเปลี่ยนไปใช้วิธีการใหม่ทันทีโดยไม่มีช่วงผ่อนผัน.”}},{“@type”:”Question”,”name”:”ผลที่ตามมาสำหรับบริษัทที่ไม่สามารถปฏิบัติตามเส้นตายคืออะไร?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”บริษัทที่พลาดเส้นตายเสี่ยงต่อการถูกดำเนินการทางกฎระเบียบและความเสียหายด้านชื่อเสียง นอกจากนี้ ผู้บริหารระดับสูงยังอาจถูกถือว่าต้องรับผิดโดยตรงต่อความสูญเสียของลูกค้าที่เกิดจากการควบคุมความปลอดภัยไซเบอร์ที่ไม่เพียงพอ — ซึ่งเป็นมาตรฐานความรับผิดที่เข้มงวดกว่าคำแนะนำก่อนหน้า.”}}]}
บทความนี้จัดทำขึ้นโดยได้รับความช่วยเหลือจากปัญญาประดิษฐ์และผ่านการทบทวนโดยทีมบรรณาธิการแล้ว

