2026年7月9日
鑑於涉及客戶登入資料被盜用的仿冒詐騙攻擊日趨嚴重,證監會發出通函,要求互聯網經紀行及虛擬資產交易平台營運者(虛擬資產交易平台)就客戶登入及裝置綁定採用有效防止仿冒詐騙的認證方法。
證監會現要求互聯網經紀行及虛擬資產交易平台停止就客戶登入及裝置綁定使用一次性密碼,因為這個做法存在相關風險,且現時已有更高強度的替代認證方案,例如通行密鑰及綁定裝置,能提供更為穩健及可防止仿冒詐騙的認證方法。
證監會要求這些可防止仿冒詐騙的認證方法應在切實可行的情況下盡快予以實施,惟必須於有關通函發出日期起計12個月期限內,而大型互聯網經紀行則應立即採用有關認證方法。
除穩健的預防性監控措施外,互聯網經紀行及虛擬資產交易平台亦應實施有效的偵測及監視措施,以便偵測可疑的登入、交易及提取活動,就重要的賬戶活動及時通知有關客戶,並及時應對黑客入侵事故。它們亦應就新興的仿冒詐騙及其他網絡保安風險定期警示及提醒客戶。
證監會中介機構部執行董事葉志衡表示,要保障客戶賬戶免受愈趨複雜和多變的仿冒詐騙攻擊,必須結合預防、偵測、應對及教育以實施全面性措施。持牌機構應透過穩健的認證解決方案來加強其第一道防線,對可疑活動保持警惕,及在造成損害前迅速作出應對。
證監會提醒互聯網經紀行及虛擬資產交易平台的高級管理層,他們在實施適當的監控措施以保障客戶賬戶及資產方面,肩負最終責任。如客戶因其內部監控措施缺失而蒙受任何損失,證監會將就有關損失向他們問責。
證監會亦提醒投資者保持警覺,妥善保障其證券交易賬戶及登入資料的安全。投資者應採取審慎的保安措施,例如使用高強度且獨特的密碼,妥善保管並定期更新其登入資料及裝置,以及僅透過其持牌法團及虛擬資產交易平台的官方網站或流動應用程式登入其賬戶。投資者亦應定期監察其賬戶,並及時查閱賬戶結單、交易紀錄及通知,以識別可疑活動。