Cơ quan quản lý chứng khoán Hồng Kông vừa cấm các nền tảng giao dịch crypto sử dụng phương thức đăng nhập bằng mã OTP (một lần). Quy định này nhằm chặn các chiêu trò lừa đảo phishing, nguyên nhân chính khiến các vụ tấn công mạng tại khu vực tăng mạnh trong thời gian qua.
Ủy ban Chứng khoán và Hợp đồng Tương lai (Securities and Futures Commission – SFC) vừa phát hành một thông tư yêu cầu các công ty môi giới trực tuyến và nền tảng giao dịch crypto dừng ngay việc sử dụng OTP qua SMS, email hoặc ứng dụng.
Các nền tảng này phải chuyển sang sử dụng giải pháp đăng nhập và xác thực thiết bị bảo mật cao hơn như passkeys hoặc các phương thức chống phishing khác. Các công ty có thời hạn 12 tháng để thực hiện, tuy nhiên các môi giới lớn phải áp dụng ngay lập tức. SFC đã cảnh báo rủi ro OTP từ tháng 02/2025, và thông tư lần này bắt buộc tất cả phải chuyển đổi.
Trong năm 2025, Hồng Kông ghi nhận 15,877 vụ việc liên quan đến an ninh mạng – tăng 27% so với năm trước, theo SFC. Trong số này, các vụ phishing chiếm tới 57%. Theo sau là tấn công botnet (18%) và mã độc (malware) (15%).
Tổng số vụ việc an ninh mạng trong năm 2025 đã gấp hơn 2 lần so với 7,752 vụ trong năm 2023.
Trên toàn cầu, thiệt hại do phishing liên quan đến ví crypto đã vượt khoảng 306 triệu USD chỉ trong quý 1/2026. Chính vì vậy, SFC đã quyết định hành động mạnh mẽ. Thay vì tấn công kỹ thuật, tội phạm mạng ngày càng dựa vào các thông tin đăng nhập bị đánh cắp để chiếm đoạt tài sản của người dùng crypto. Theo BeInCrypto, mới đây một ví Ethereum bị hacker rút mất 999,999 USDT khi dính phishing.
Các nền tảng buộc phải nhận diện và cảnh báo các đăng nhập, giao dịch, rút tiền đáng ngờ và thông báo cho người dùng ngay khi có sự kiện bất thường trên tài khoản. Đại diện SFC, ông Eric Yip, nhấn mạnh rằng các doanh nghiệp cần có xác thực mạnh và kèm phản ứng nhanh khi sự cố xuất hiện. Tuy nhiên, ông cũng lưu ý rằng chỉ phòng ngừa thôi vẫn chưa đủ khi đối mặt với hacker chuyên nghiệp.
Bên cạnh đó, các nền tảng crypto phi tập trung cũng đang gặp rủi ro tương tự. Mới đây, vụ lừa đảo phishing giả airdrop đã khiến một người dùng HyperSwap mất 12,300 USD chỉ trong chưa đầy 90 giây. Tương tự, một trang phishing Uniswap giả mạo cũng chiếm đoạt khoảng 400,000 USD từ nhiều ví. Các vụ việc này cho thấy việc cấm OTP chỉ giải quyết một phần nhỏ của vấn đề mất thông tin đăng nhập đang gây nhức nhối với ngành crypto toàn cầu.
SFC hiện đã quy trách nhiệm trực tiếp lên ban điều hành cấp cao nếu khách hàng bị thiệt hại tài sản. Nếu để xảy ra rủi ro bảo mật hoặc kiểm soát an ninh mạng yếu kém, doanh nghiệp sẽ phải hoàn toàn chịu trách nhiệm – tiêu chuẩn mới này nghiêm ngặt hơn so với hướng dẫn trước đây. Các sàn bỏ lỡ hạn 12 tháng sẽ bị xử lý, đồng thời uy tín cũng bị ảnh hưởng nghiêm trọng trên thị trường. Các môi giới lớn thì sẽ bị kiểm tra đột xuất ngay tức thì nếu vi phạm.
Các nhà quản lý ở các khu vực khác cũng đang chịu sức ép tương tự về phishing. Tại Mỹ, FBI đã mở chiến dịch truy quét tội phạm mạng toàn cầu, còn Tether và đơn vị T3 của TRON cũng đóng băng hàng trăm triệu USD tiền tội phạm dựa trên dữ liệu tài khoản bị đánh cắp. Quyết định lần này của Hồng Kông cũng đặt ra bài toán cho các nhà quản lý tại Singapore, Anh và nhiều nơi khác: Họ sẽ sớm ban hành quy định chống phishing, hay chỉ chờ khi thiệt hại lan rộng?