หน่วยงานกำกับหลักทรัพย์ฮ่องกงได้สั่งห้ามการล็อกอินด้วยรหัสผ่านครั้งเดียวสำหรับแพลตฟอร์มซื้อขายคริปโต โดยกฎใหม่นี้มีเป้าหมายเพื่อสกัดกั้นการหลอกลวงแบบฟิชชิงซึ่งเป็นสาเหตุหลักที่อยู่เบื้องหลังการเพิ่มขึ้นของเหตุการณ์ความมั่นคงไซเบอร์ในภูมิภาคนี้
คณะกรรมการกำกับหลักทรัพย์และสัญญาซื้อขายล่วงหน้าได้ออก หนังสือเวียน ซึ่งสั่งให้โบรกเกอร์ทางอินเทอร์เน็ตและแพลตฟอร์มซื้อขายคริปโตยุติการใช้รหัสผ่านแบบ OTP ผ่าน SMS อีเมล และแอปพลิเคชัน
แพลตฟอร์มเหล่านี้ต้องปรับเปลี่ยนวิธีการล็อกอินและผูกอุปกรณ์ของลูกค้าไปเป็น passkey หรือวิธีที่ต้านทานการฟิชชิงประเภทอื่น ผู้ประกอบการมีเวลา 12 เดือนในการปฏิบัติตามข้อกำหนดนี้ แต่โบรกเกอร์รายใหญ่ต้องดำเนินการทันที SFC เคยเตือนถึงความเสี่ยงของ OTP ตั้งแต่คำแนะนำเมื่อเดือนกุมภาพันธ์ 2025 และการออกหนังสือเวียนในครั้งนี้ทำให้การเปลี่ยนแปลงดังกล่าวกลายเป็นข้อบังคับ
ฟิชชิงผลักดันสถิติใหม่ของเหตุการณ์ความมั่นคงไซเบอร์
ฮ่องกงพบเหตุการณ์ความมั่นคงไซเบอร์จำนวน 15,877 กรณีในปี 2025 SFC ระบุว่าตัวเลขนี้เพิ่มขึ้น 27% เมื่อเทียบกับปีก่อน ฟิชชิงคิดเป็น 57% ของกรณีเหล่านี้ ตามมาด้วยการโจมตีแบบ botnet ที่ 18% และมัลแวร์ที่ 15%
ยอดรวมของปี 2025 นั้นมากกว่าปี 2023 ถึงสองเท่าจากที่เคยบันทึกไว้ที่ 7,752 เหตุการณ์
ความสูญเสียทั่วโลกจากฟิชชิงที่เชื่อมโยงกับกระเป๋าคริปโตแตะ 306 ล้าน USD เฉพาะในไตรมาส 1 ปี 2026 ส่งผลให้ SFC ต้องดำเนินการอย่างจริงจังมากขึ้น อาชญากรมักหันไปใช้ข้อมูลที่ขโมยมา แทนที่จะพึ่งวิธีแฮกเชิงเทคนิคในการโจมตีผู้ใช้งานคริปโต BeInCrypto ยังพบรูปแบบเดียวกันในเดือนนี้ เมื่อยังมีลายเซ็นต์ฟิชชิงที่ ดูดเงิน 999,999 USDT จากกระเป๋า Ethereum เดียว
กฎใหม่ผลักดันแพลตฟอร์มคริปโตไปสู่การใช้ passkey
แพลตฟอร์มต้องติดธงเตือนการเข้าสู่ระบบที่น่าสงสัย การซื้อขาย และการถอนเงิน ทั้งนี้ยังต้องแจ้งเตือนลูกค้าในทุกเหตุการณ์สำคัญของบัญชีด้วย คุณ Eric Yip จาก SFC กล่าวว่า บริษัทควรมีระบบยืนยันตัวตนที่รัดกุมควบคู่กับการตอบสนองต่อเหตุการณ์อย่างรวดเร็ว อย่างไรก็ดี เขายังกล่าวเพิ่มว่าแค่การป้องกันนั้นแทบไม่อาจหยุดแฮกเกอร์ที่มุ่งมั่นได้
ขณะเดียวกัน แพลตฟอร์มคริปโตแบบกระจายศูนย์ก็เผชิญภัยคุกคามลักษณะเดียวกัน ล่าสุด กลุ่มฟิชชิงปลอมแจก airdrop ได้ขโมยเงิน 12,300 USD จากผู้ใช้ HyperSwap ภายในเวลาไม่ถึง 90 วินาที เช่นเดียวกับ เว็บไซต์ฟิชชิง Uniswap ปลอม ที่หลอกเอาเงินประมาณ 400,000 USD จากหลาย wallet ในช่วงเวลาใกล้เคียงกัน กรณีนี้สะท้อนว่า การแบน OTP เป็นเพียงการแก้ปัญหาความสูญเสียจากการขโมยข้อมูลบัญชีในอุตสาหกรรมคริปโตแค่บางส่วนเท่านั้น
หน่วยงานกำกับดูแลทั่วโลกเผชิญแรงกดดันจากฟิชชิงเช่นกัน
ปัจจุบัน SFC กำหนดให้ฝ่ายบริหารระดับสูงต้องรับผิดชอบโดยตรงต่อความเสียหายของลูกค้า อีกทั้งหากมีระบบความปลอดภัยไซเบอร์ที่อ่อนแอ ก็จะถูกพิจารณาให้เป็นเหตุแห่งความรับผิดขั้นรุนแรงกว่าคำแนะนำเดิม บริษัทที่ไม่ดำเนินการให้ครบภายในเวลาที่กำหนด 12 เดือนมีความเสี่ยงต่อการโดนบังคับใช้กฎหมายและอาจเสียชื่อเสียงในวงการคริปโต ขณะเดียวกันโบรกเกอร์รายใหญ่ก็จะถูกตรวจสอบทันทีภายใต้เส้นตายใหม่นี้
หน่วยงานกำกับดูแลในประเทศอื่นก็ต้องเผชิญแรงกดดันจากฟิชชิงเช่นกัน ทั้งปฏิบัติการ ปราบปรามอาชญากรรมไซเบอร์ระดับโลกของ FBI และ การอายัดสินทรัพย์เกี่ยวกับอาชญากรรมคริปโตของ Tether ร่วมกับหน่วยงาน T3 ของ TRON ต่างก็มุ่งเน้นเครือข่ายที่เกิดจากข้อมูลบัญชีที่ถูกขโมยเช่นกัน การแบนในฮ่องกงครั้งนี้จึงเป็นคำถามชัดเจนแก่หน่วยงานในสิงคโปร์ สหราชอาณาจักร และอีกหลายประเทศว่า พวกเขาจะเดินตามด้วยมาตรการป้องกันฟิชชิงหรือจะรอจนเกิดความเสียหายก่อน








