證監會要求券商及虛擬平台停用一次性密碼 12個月內全面改採高强度認證方法防詐騙
鑑於涉及客戶登入資料被盜用的仿冒詐騙攻擊日趨嚴重,證監會發出通函,要求互聯網經紀行及虛擬資產交易平台就客戶登入及裝置綁定,採用有效防止仿冒詐騙的認證方法,包括停止客戶登入及裝置綁定使用一次性密碼,而改採用如通行密鑰及綁定裝置等更高強度的替代認證方案。互聯網經紀行和虛擬資產交易平台需在12個月期限內,即不遲於 2027年7月8日實施有關認證方法,而大型互聯網經紀行則應立即採用。
證監會嚴管登入認證 高層失責將被問責
在2025年中,向香港網絡安全事故協調中心匯報的保安事故中,仿冒詐騙攻擊佔57%。證監會表示,持續打擊針對互聯網經紀行及虛擬資產交易平台的仿冒詐騙攻擊及帳戶盜用事故,作為這項工作的一部分,現要求互聯網經紀行及虛擬資產交易平台 採用有效防止仿冒詐騙的認證方法。
證監會續指,除穩健的預防性監控措施外,互聯網經紀行及虛擬資產交易平台亦應實施有效的偵測及監視措施,以便偵測可疑的登入、交易及提取活動,就重要的帳戶活動及時通知有關客戶,並及時應對黑客入侵事故,它們亦應就新興的仿冒詐騙及其他網絡保安風險定期警示及提醒客戶。
證監會提醒,互聯網經紀行及虛擬資產交易平台的高級管理層,他們在實施適當的監控措施以保障客戶帳戶及資產方面,肩負最終責任。如客戶因其內部監控措施缺失而蒙受任何損失,證監會將就有關損失向他們問責。
證監會呼籲投資者用獨特密碼 即時查帳及舉報可疑交易
證監會亦提醒投資者保持警覺,妥善保障其證券交易帳戶及登入資料的安全。投資者應採取審慎的保安措施,例如使用高強度且獨特的密碼,妥善保管並定期更新其登入資料及裝置,以及僅透過其持牌法團及虛擬資產交易平台的官方網站或流動應用程式登入其帳戶。同時投資者亦應定期監察其帳戶,並及時查閱帳戶結單、交易紀錄及通知,以識別可疑活動。另外,當投資者如懷疑其登入資料遭盜用,或發現任何未經授權交易時,應立即聯絡其持牌法團或虛擬資產交易平台,保護其帳戶的安全,並將此事向有關當局舉報。
葉志衡:防詐騙須預防、偵測、應對及教育齊下
證監會中介機構部執行董事葉志衡表示,要保障客戶帳戶免受愈趨複雜和多變的仿冒詐騙攻擊,必須結合預防、偵測、應對及教育以實施全面性措施,持牌機構應透過穩健的認證解決方案來加強其第一道防線,對可疑活動保持警惕,及在造成損害前迅速作出應對。
邀請業界參與相關研討會
另外,為解答業界對新要求的疑難,證監會正透過香港證券及期貨專業總會邀請業界人士,參與於本月15日下午4點半舉行的相關網絡研討會。