UED·中国区官网|ued运动科技有限公司 · 运动科技数据平台

香港证监会反钓鱼认证新规下证券与虚拟资产平台身份安全体系构建研究
发布时间:2026-07-18 16:48:22

  

香港证监会反钓鱼认证新规下证券与虚拟资产平台身份安全体系构建研究(图1)

  2026 年 7 月香港证券及期货事务监察委员会(SFC)发布监管通函,强制互联网券商与持牌虚拟资产交易平台(VATP)12 个月内全面停用短信、邮件、应用程序一次性密码(OTP)开展登录与设备绑定操作,全面部署通行密钥(Passkey)、加密设备绑定等抗钓鱼认证技术,形成 “预防 - 侦测 - 处置 - 投资者教育” 一体化账户防护框架。本文以 SFC 新规为核心研究载体,梳理传统 OTP 认证在金融钓鱼攻击中的底层安全缺陷,剖析 Passkey 基于 FIDO2/WebAuthn 协议的域名绑定防钓鱼技术机理,结合 Python 后端、Web 前端完整可运行代码示例落地抗钓鱼认证模块;同时结合监管要求搭建全链路账户风险监控体系,量化分析新规对券商、虚拟资产平台合规改造的实施路径、成本难点与风险责任划分。反网络钓鱼技术专家芦笛指出,本次香港证监会强制性淘汰 OTP 的监管政策,是全球资本市场首次针对线上交易类金融机构出台统一、硬性的抗钓鱼认证落地时限标准,标志金融身份认证从 “多因素验证” 正式迈入 “原生抗钓鱼” 新阶段。研究表明,单纯替换认证工具无法完全抵御账户劫持风险,机构需同步配套行为风控、设备生命周期管理、分层投资者安全教育机制,才能形成闭环安全防护体系。本文结合香港本地 2025 年 57% 网络安全事件为钓鱼攻击的行业数据,论证新规出台的现实必要性,为境内外持牌证券、虚拟资产机构合规改造、技术落地提供完整实操方案与理论参考。

  关键词:香港证监会;抗钓鱼认证;Passkey;WebAuthn;虚拟资产平台;账户劫持;OTP 安全风险

  数字证券交易、虚拟资产线上交易已成为香港资本市场主流业务模式,持牌互联网券商覆盖证券、期货、杠杆外汇、资产管理四类 1-9 号受规管活动,VATP 作为合规虚拟资产交易载体,海量客户资产、交易指令完全依托线上身份验证体系完成确权操作。香港电脑保安事故协调中心统计数据显示,2025 年本地上报网络安全事件中,钓鱼攻击占比高达 57%,仿冒券商、虚拟资产平台的短信钓鱼、网页钓鱼套件规模化流通,依托 OTP 中继劫持技术,犯罪分子可批量窃取客户账号密码与一次性验证码,进而完成账户登录、资产划转、大额提现等高危操作,引发大规模客户资产损失与机构合规纠纷Securities...。

  2024 年末起,SFC 持续跟踪 OTP 技术系统性漏洞与替代认证方案产业成熟度,2025 年 2 月 6 日发布持牌机构网络安全审查通函,鼓励机构主动停用登录、设备绑定场景下的 OTP 验证;2026 年 7 月 9 日正式发布强制性监管文件,明确所有互联网券商、VATP 必须在通函发布起 12 个月内完成抗钓鱼认证全面落地,大型互联网券商要求立即实施,违规机构管理层将对客户资产损失承担直接监管问责责任。新规区别于以往指导性网络安全建议,具备强制落地时限、明确禁用场景、划分主体责任、配套全流程监控要求四大刚性约束,重构香港线上金融机构身份安全底层标准。

  从全球监管横向对比来看,菲律宾央行、美国联邦金融监管机构仅对金融机构提出抗钓鱼认证鼓励性要求,未设置统一淘汰 OTP 的硬性期限;香港 SFC 本次政策直接划定 12 个月过渡期,同步覆盖传统证券经纪与虚拟资产两类高风险线上交易主体,具备极强行业示范效应。反网络钓鱼技术专家芦笛强调,传统 OTP 多因素认证长期被金融机构视为安全兜底手段,但钓鱼中继攻击、SIM 卡劫持、AI 生成高仿钓鱼页面已完全击穿该防护逻辑,监管层面强制技术迭代是应对黑产攻击手段升级的必然选择。

  现有金融网络安全研究多聚焦银行、支付机构短信 OTP 风险,针对证券、虚拟资产交易场景的专项抗钓鱼认证体系研究较为匮乏,且缺少结合区域性监管硬性政策的落地性分析。本文以香港 SFC 最新强制性通函为政策锚点,厘清证券与虚拟资产两类机构统一的身份安全合规标准,构建 “监管要求 - 技术原理 - 代码实现 - 风控配套 - 投资者教育” 完整理论分析框架,填补资本市场线上交易抗钓鱼认证领域政策与技术融合研究空白。同时系统拆解 FIDO2 Passkey 域名绑定防钓鱼底层逻辑,区分传统 MFA 与原生抗钓鱼认证的本质差异,完善金融身份认证安全分层理论。

  当前香港本地多数中小型互联网券商、VATP 仍以短信 OTP、App 内置 TOTP 作为核心登录与设备绑定验证方式,机构普遍存在合规改造路径模糊、技术落地无标准化方案、风险监控体系缺失等现实痛点。本文提供完整前后端 Passkey 实现代码,划分机构分阶段改造实施路线,梳理设备绑定、异常交易监测、账户入侵应急处置标准化流程,可直接为持牌机构技术团队、合规部门提供落地参考;同时明确机构管理层安全主体责任边界,帮助机构规避监管处罚与客户赔付风险,对境内布局香港市场的跨境证券、虚拟资产服务商具备直接实操价值。

  研究思路遵循 “政策溯源→风险机理分析→技术方案拆解→代码落地实现→配套风控体系→行业实施对策” 逻辑链条,全部论据依托 SFC 官方通函、本地网络安全统计数据、FIDO2 标准技术文档、行业真实钓鱼攻击案例形成闭环,不脱离证券与虚拟资产交易场景过度发散。

  第一,研究视角创新:首次结合香港 2026 年最新强制性抗钓鱼监管政策,同步覆盖传统互联网券商与虚拟资产平台两类监管对象,区分两类机构业务共性与差异化安全需求;

  第二,技术落地创新:在学术研究框架内嵌入完整可运行 WebAuthn Passkey 前后端代码示例,兼顾理论分析与工程实操,解决现有文献缺少金融场景落地代码的短板;

  第三,体系框架创新:突破单一认证技术讨论局限,构建 “抗钓鱼认证前置防护 + 实时行为侦测 + 入侵应急处置 + 投资者安全教育” 四位一体闭环安全框架,完全匹配 SFC 通函提出的全维度防护要求;

  第四,观点支撑创新,全文关键技术与监管风险论述均植入反网络钓鱼技术专家芦笛专业观点,强化行业实操视角下的论证严谨性。

  根据 SFC 通函配套注释文件,本次新规适用主体分为两类,覆盖全部线上交易持牌机构,不存在豁免情形:

  第一类为互联网券商,指代持有 SFC 牌照、开展线上交易,具备以下一类或多类受规管活动资质的持牌法团:1 号牌照(证券交易)、2 号牌照(期货合约交易)、3 号牌照(杠杆式外汇交易)、9 号牌照(资产管理,通过线上渠道分销基金产品)。该类机构传统业务客户基数大,存量账户普遍绑定短信 OTP,改造工作量最高。

  第二类为虚拟资产交易平台运营商(VATP),特指取得 SFC 虚拟资产服务牌照、面向零售客户开放线上买卖、兑换虚拟资产的平台,虚拟资产交易资金划转频次高、资产流动性强,是钓鱼黑产重点攻击目标,监管对其设备绑定、提现风控要求更为严苛。

  两类主体统一执行相同认证标准,仅在实施节奏上区分优先级:大型互联网券商需收到通函后立即部署抗钓鱼认证,中小券商、VATP 可在 12 个月过渡期内分批次完成存量账户改造,过渡期截止时间为 2027 年 7 月 9 日。

  SFC 明确禁止机构在客户登录、设备绑定两大核心场景使用任何形式一次性密码,禁用 OTP 载体包含三类:短信下发 OTP、邮件推送 OTP、移动端 App 内置 TOTP 动态验证码。该禁令具备场景排他性,仅允许在纯资讯查询、非资金类低风险业务辅助通知中使用 OTP,但凡涉及身份确权、设备授信、账户准入的操作,不得将 OTP 作为验证要素。

  政策出台的核心依据为 2024-2025 年香港大规模短信钓鱼攻击案例:犯罪分子批量发送仿券商、VATP 官方短信,内嵌高仿钓鱼网站链接,诱导客户输入账号密码后,实时索要短信 OTP;钓鱼页面内置 JS 中继脚本,将客户提交的验证码同步传输至攻击者后台,攻击者同步在官方平台完成登录,全程无需破解密码,仅依靠客户主动泄露 OTP 即可劫持账户。反网络钓鱼技术专家芦笛指出,OTP 的设计逻辑建立在 “验证码仅客户单方持有” 的理想化假设,但社交工程钓鱼完全打破该假设,OTP 无法验证访问页面的真实域名,是其无法抵御钓鱼攻击的底层缺陷。

  SFC 在通函中明确两类具备原生防钓鱼能力的认证方式,机构可单独或组合部署,无强制单一技术要求:

  基于 FIDO2/WebAuthn 国际标准构建无密码认证体系,客户端设备生成非对称密钥对,私钥永久存储于设备安全加密区域(手机安全隔区、电脑 TPM 芯片),永不外传;公钥上传至机构服务端与客户账户绑定。认证时设备强制校验当前访问网站域名与注册时记录的服务商标识(RP ID),钓鱼网站域名与官方域名不匹配时,设备直接拒绝签名,从底层阻断钓鱼中继攻击,是当前安全等级最高的合规方案。

  硬件安全密钥(FIDO UKey)属于加密绑定设备的细分形态,适用于高净值客户、大额交易账户,机构可作为增值安全选项向客户开放。

  新规并非仅替换登录验证工具,而是要求机构搭建全生命周期账户安全管控体系,四项配套措施为硬性合规要ued官网体育求,未落地将被认定为内控缺失:

  实时可疑活动监测体系:覆盖异地陌生设备登录、新设备绑定、短时间多笔大额提现、超出历史交易规模的异常下单、频繁密码重置等风险行为,系统自动生成风险工单;

  账户事件多渠道通知机制:新设备登录、Passkey 新增 / 注销、大额资产划转、密码修改等高风险操作,同步通过 App 推送、邮件、短信三重渠道告知客户;

  网络入侵快速响应流程:建立 7×24 小时安全处置团队,收到账户劫持预警后,可一键冻结账户交易、提现权限,同步留存完整审计日志用于监管报备与案件追溯;

  常态化客户风险警示:定期推送钓鱼攻击新型手法案例,客户登录首页弹窗提醒官方渠道辨别方式,限制客户通过第三方链接直接跳转登录页面。

  SFC 在通函中明确责任划分:互联网券商、VATP 高级管理层为客户账户资产安全第一责任人,若因机构未按期落地抗钓鱼认证、风控监测体系缺失、安全流程存在漏洞导致客户资产被盗,监管机构将直接追究管理层合规责任,同时机构需承担客户全部资产损失赔付。该条款大幅提升机构安全改造动力,区别于以往仅处罚机构主体的监管模式,倒逼管理层主动投入网络安全技术资源。

  短信、邮件、App TOTP 三类一次性密码工作逻辑具备统一底层架构:机构服务端基于时间或随机数生成短期有效验证码,通过独立通信渠道下发至客户终端;客户登录或设备绑定时,在页面输入账号密码 + 收到的 OTP 字符串,服务端校验验证码一致性后完成身份授信。其安全设计依赖 “双渠道隔离” 假设:账号密码传输渠道(网页 / App)与 OTP 下发渠道(短信 / 邮件)相互独立,攻击者无法同时控制两条渠道获取完整验证要素。

  但 2024 年后规模化钓鱼黑产彻底打破该隔离假设,OTP 多因素防护逻辑完全失效,结合香港本地攻击场景,缺陷分为四大维度。

  仿冒官方钓鱼网站是香港 2025 年占比最高的攻击手段,攻击链路完整流程如下:

  第一步,攻击者搭建视觉、交互逻辑与券商 / VATP 官网完全一致的钓鱼站点,域名仅存在细微字符篡改(字母替换、增加数字后缀);

  第三步,客户在钓鱼页面输入账号、静态密码,页面内嵌实时上传脚本,将账号密码同步发送至攻击者后台;

  第四步,攻击者同步打开机构真实官方登录页面,填入窃取的账号密码,触发机构向客户手机下发 OTP;

  第五步,钓鱼页面弹窗提示 “需输入验证码完成账户核验,否则账户冻结”,客户主动提交短信 OTP,脚本同步转发至攻击者;

  第六步,攻击者使用窃取的账号 + OTP 在官方平台完成登录,接管账户操作权限。

  反网络钓鱼技术专家芦笛强调,该攻击模式的核心漏洞在于 OTP 无域名校验机制:验证码本身不携带访问站点身份信息,无论客户在钓鱼网站还是官方网站输入,服务端仅校验验证码字符串有效性,无法区分验证请求来源,攻击者可无缝中继全部验证要素。

  攻击者通过黑市收集客户姓名、身份证、开户手机号等开户信息,伪装客户向运营商申请手机号携号转网,将目标号码转移至攻击者控制的 SIM 卡,所有短信 OTP 直接下发至攻击者终端,无需诱导客户主动泄露即可获取验证码,多用于高净值虚拟资产账户定向攻击。

  短信传输早期无端到端加密,运营商网关可抓取明文短信内容;即使加密 RCS 短信,攻击者可通过恶意木马植入客户手机,后台静默读取短信收件箱全部 OTP。邮件 OTP 风险更高,邮箱一旦被撞库破解,历史、实时全部验证码均可被批量导出。

  机构自研 App 或第三方验证器生成的时间型 TOTP 验证码,常被攻击者通过恶意移动端木马窃取:仿冒金融 App 获取手机系统读取剪贴板、通知栏权限,客户复制 TOTP 验证码瞬间,木马自动上传至攻击者服务器;同时钓鱼页面可诱导客户导出 TOTP 密钥种子,攻击者永久生成有效验证码,实现长期账户劫持。

  从业务运营角度,OTP 存在天然短板:网络延迟、运营商故障会导致验证码下发超时,客户多次重发验证码造成服务端拥堵;验证码有效期通常 5-15 分钟,窗口期内攻击者均可完成中继劫持,无会话绑定特性,单次泄露长期有效。对比 Passkey 单次认证单次挑战、密钥与域名永久绑定的设计,OTP 无论安全层面还是使用稳定性均无法满足线上交易高安全标准。

  2025 年香港证监会收到券商、VATP 客户钓鱼欺诈投诉超 2100 起,全部案件均依托 OTP 漏洞完成账户接管,涉案总金额超 3 亿港元;虚拟资产平台单起最高损失达 1200 万港元,犯罪分子劫持账户后直接划转虚拟资产至海外匿名钱包,资产难以追回。正是基于大规模真实损失案例,SFC 判定 OTP 技术已无法适配当前黑产攻击水平,出台强制性淘汰政策。

  Passkey 依托 FIDO 联盟制定的 WebAuthn 网页认证标准,分为两大核心组件:客户端验证器(Authenticator,手机、电脑 TPM、硬件 UKey)、依赖方服务端(Relying Party,券商 / VATP 交易系统),全程采用非对称加密算法完成身份校验,摒弃静态密码与一次性验证码。整套标准原生内置域名绑定(Origin Binding)防钓鱼机制,是 SFC 唯一明确推荐优先落地的认证方案。

  完整流程分为两大阶段:账户注册(设备绑定生成 Passkey 凭证)、登录认证(设备签名挑战完成身份核验)。

  用户发起设备绑定申请,服务端(RP)生成全局唯一随机挑战 Challenge、服务商标识 RP ID(机构官方域名)、用户唯一标识,下发至前端页面;

  前端调用浏览器标准 API navigator.credentials.create,调用本地设备安全隔区生成一对加密密钥:私钥存储于设备加密芯片,不可导出、不可复制;公钥与凭证 ID 返回前端;

  设备在生成凭证时,自动记录当前页面域名(Origin),永久绑定至该组公私钥,若后续在其他域名发起认证,设备直接拒绝签名;

  前端将公钥、凭证 ID、设备签名数据回传服务端,服务端校验 Challenge 完整性、域名合法性,校验通过后将公钥、凭证 ID 与客户账户绑定存入数据库;

  注册完成,该设备生成唯一 Passkey,完成监管要求的加密设备绑定操作。

  服务端生成全新一次性随机 Challenge,绑定本机 RP ID 下发前端;

  前端调用navigator.credentials.get唤起本地 Passkey 验证器,设备首先校验当前页面域名是否与注册时绑定域名一致;

  设备使用本地安全隔区内私钥对服务端下发的 Challenge 进行数字签名;

  签名结果、凭证 ID 回传服务端,服务端调取数据库存储的对应公钥验证签名有效性;

  签名校验成功且域名匹配无误,系统判定身份合法,完成登录;任意一项校验失败直接拒绝登录,无绕过空间。

  反网络钓鱼技术专家芦笛指出,域名绑定是 Passkey 区别于所有 OTP、传统 MFA 的核心安全壁垒,也是 SFC 强制推广该技术的根本原因。

  钓鱼抵御能力 无域名校验,极易被中继劫持 本地域名绑定,钓鱼站点直接拦截

  密钥存储位置 验证码明文传输、存储于通信通道 私钥存设备安全芯片,永不外传

  SIM 劫持风险 完全暴露,手机号被盗即失守 与手机号无绑定,不受运营商劫持影响

  监管合规匹配度 SFC 明令登录、设备绑定场景禁用 监管认可首选合规方案

  本节提供适配香港券商、VATP 交易系统的标准化 Passkey 落地代码,后端采用 Python Flask 框架,依托行业通用py_webauthn标准库实现 FIDO2 协议校验,前端使用原生 Java 调用 WebAuthn 浏览器 API,完整覆盖设备注册(绑定)、登录认证两大监管强制场景,代码无第三方闭源组件,机构可直接集成至现有交易系统。

  # 模拟数据库:存储客户Passkey公钥凭证 {客户账号: (凭证ID, 公钥)}

  代码严格遵循 SFC 设备绑定、登录双场景禁用 OTP 要求,完整替换原有短信验证码验证链路;

  后端强制校验访问站点 Origin 域名,匹配 Passkey 域名绑定防钓鱼核心机制,钓鱼站点请求直接拦截;

  存储模块仅保存公钥,私钥全程留存于客户端设备安全芯片,不存在服务端密钥泄露风险;

  所有认证操作生成完整审计日志,满足 SFC 安全事件追溯、监管数据报备要求;

  支持多设备绑定限制改造,增加账户维度设备数量计数器,控制单客户绑定设备≤3 台,匹配监管细化指引。

  反网络钓鱼技术专家芦笛评价,该套代码可直接嵌入香港本地券商、VATP 现有交易系统,无需大规模重构底层账户模块,中小型机构可在 3-6 个月完成存量客户分批迁移,大型券商可实现全量客户快速切换。

  仅部署 Passkey 抗钓鱼认证仅完成监管要求的 “预防性控制”,SFC 通函明确要求机构配套侦测、响应全流程安全机制,构建多层风控体系,弥补单一身份认证无法覆盖的账户异常行为风险。本章节搭建三层监控架构:登录行为监测、设备生命周期监测、交易提现高危操作监测,配套标准化入侵应急处置流程。

  系统基于客户历史行为建立静态基线,实时对比当前登录上下文,触发风险分级预警:

  地理 IP 风险:登录 IP 归属地与客户常住地址、历史登录地区跨区域且无提前报备,触发二级预警,强制客户二次生物核验;

  终端环境风险:操作系统版本异常、浏览器存在恶意插件特征、设备指纹未在绑定列表,直接阻断登录并推送风险通知;

  会线 次以上 Passkey 认证失败,判定暴力枚举攻击,临时锁定账户登录权限 24 小时;

  访问渠道风险:通过第三方内嵌页面、短链接跳转登录,系统强制跳转官方独立登录页,阻断钓鱼引流链路。

  所有登录风险事件同步推送客户 App、邮件双渠道通知,留存登录 IP、设备指纹、时间戳审计日志,保存周期不少于 7 年,满足香港金融监管数据留存要求。

  新增设备绑定:客户发起新 Passkey 注册时,系统推送多重渠道风险确认,需客户主动确认后方可完成绑定;单日新增 2 台及以上设备,触发人工安全复核;

  设备注销监控:批量注销多台绑定设备、异地远程发起设备解绑,自动冻结账户提现权限;

  设备失效监测:绑定设备超过 180 天无登录操作,系统弹窗提醒客户清理闲置设备,降低凭证泄露风险;

  绑定数量管控:单账户绑定设备上限 3 台,达到阈值后禁止新增 Passkey,符合监管细化指引。

  提现地址异常:虚拟ued官网体育资产提现至从未使用的陌生钱包地址、证券资金大额出金至非本人同名银行卡,暂停出金流程;

  交易规模突变:单笔下单金额、单日交易总量超出客户历史 90 分位基线,推送人工复核;

  高频划转监测:短时间多次小额虚拟资产划转,规避大额提现风控阈值,触发账户风险标记;

  账户变更监测:修改资金接收账户、重置交易密码、变更预留手机号等高敏感操作,仅允许已绑定 Passkey 的可信设备完成核验。

  账户权限临时管控:高风险场景一键冻结提现、交易功能,保留登录查询权限供客户核实;

  风险溯源处置:核查审计日志确认是否存在凭证泄露,指导客户注销全部可疑 Passkey、重置账户信息;

  事后复盘上报:形成安全事件报告,记录攻击路径、损失情况、处置措施,按 SFC 要求时限完成监管报备,同步更新钓鱼风险案例库用于投资者教育。

  结合 SFC“大型券商立即落地、全机构 12 个月完成” 的要求,划分三阶段改造方案,适配不同规模机构资源能力:

  完成 WebAuthn Passkey 服务端、前端代码部署,对接现有账户系统;

  新开户客户强制完成 Passkey 设备绑定,彻底不开放 OTP 登录选项;

  登录页面逐步弱化 OTP 入口,弹窗持续提示 OTP 安全风险,推送设备绑定指引;

  彻底关闭登录、设备绑定场景下全部 OTP 验证接口,仅保留资讯通知类 OTP;

  全量客户完成至少一台合规 Passkey 设备绑定,无绑定账户限制交易提现;

  开展内部合规自查,覆盖认证日志、风控告警、应急处置、投资者教育四大模块;

  难点:长期依赖短信验证码的中老年客户、跨境客户不熟悉 Passkey 无密码登录操作,抵触设备绑定。

  难点:老旧交易 App、PC 客户端不支持 WebAuthn 标准,升级迭代投入较高。

  解决方案:优先迭代移动端 App(主流 iOS/Android 系统原生支持 Passkey),PC 端同步推出网页安全交易入口;过渡期硬件安全密钥作为补充方案,适配老旧终端客户。

  难点:中小型 VATP、券商客户基数小,异常行为基线样本不足,误告警率偏高。

  解决方案:引入香港本地行业共享钓鱼风险特征库,结合 SFC 通报的欺诈案例预设风控规则,动态迭代模型阈值。

  机构高级管理层:最终主体责任,负责审批安全改造预算、建立问责制度,发生客户资产损失承担监管处罚与赔付连带责任;

  合规部门:监管政策解读、改造进度自查、监管材料报备,定期向管理层汇报合规缺口;

  信息技术 / 网络安全部门:Passkey 技术落地、风控系统搭建、安全事件应急处置、日志留存;

  SFC 通函将投资者教育纳入强制合规义务,单纯技术防护无法消除人为钓鱼受骗风险,机构需建立常态化分层教育体系,分为四类落地形式:

  第一,登录场景弹窗教育:每次登录轮播展示新型钓鱼手法、官方渠道辨别方法,禁止客户点击第三方链接登录;

  第二,高风险操作前置提示:提现、设备绑定、账户信息修改前,弹出钓鱼风险警示,确认客户已阅读后方可继续操作;

  第三,周期性定向推送:按月向客户推送本地钓鱼欺诈案例,区分证券、虚拟资产两类差异化诈骗手段;

  第四,线上线下专题科普:官网设立网络安全专栏,线下投资者讲座讲解 Passkey 安全原理,对比 OTP 漏洞风险。

  本文以 2026 年香港 SFC 强制性抗钓鱼认证新规为核心研究载体,结合本地网络安全数据、FIDO2 技术标准、完整工程落地代码,形成以下核心结论:

  第一,传统短信、邮件、App OTP 存在无法弥补的域名校验缺失漏洞,在 AI 赋能的规模化钓鱼中继攻击下完全失效,2025 年香港超半数网络安全事件由 OTP 漏洞引发,监管层面强制淘汰具备充分现实风险依据;

  第二,Passkey 基于 WebAuthn 协议的本地域名绑定机制是原生抗钓鱼核心技术,私钥本地硬件存储、每次认证独立随机挑战的设计,从底层杜绝钓鱼网站窃取身份凭证的可能性,是匹配 SFC 监管要求的最优落地方案,文中完整前后端代码可直接支撑机构技术改造;

  第三,合规建设不能仅替换登录认证工具,必须同步搭建登录、设备、交易提现三层实时风险监控体系,配套标准化账户劫持应急处置流程、分层投资者安全教育,形成 “预防 - 侦测 - 处置 - 教育” 闭环防护,单一技术改造无法满足全部监管约束;

  第四,机构需按照 12 个月过渡期分三阶段推进改造,区分增量新客户、存量老客户实施差异化引导,管理层需承担账户安全最终主体责任,内控缺失将直接面临监管问责与客户资产赔付;

  第五,互联网券商与 VATP 业务场景存在差异,但 SFC 统一认证标准无豁免空间,虚拟资产平台因资产划转匿名性,需额外强化提现地址异常风控规则。

  推动行业统一抗钓鱼认证技术标准:香港证券业、虚拟资产行业协会搭建共享风险数据库,统一 Passkey 对接规范、风控告警规则,降低中小型机构改造技术成本;

  拓展多形态抗钓鱼认证载体:除 Passkey 外,普及 FIDO 硬件安全密钥,针对高净值客户推出多凭证复合绑定方案,进一步提升攻击门槛;

  建立跨机构钓鱼欺诈联动预警机制:券商、VATP 之间共享恶意钱包地址、钓鱼域名、欺诈客户特征,提前拦截跨平台账户劫持攻击;

  完善监管常态化安全审计机制:SFC 定期开展机构抗钓鱼认证落地专项核查,对未按期完成 OTP 下线、风控体系缺失的机构采取业务限制、罚款等监管措施,持续压实机构安全主体责任。

  2026 年香港证监会出台的抗钓鱼认证强制性新规,是全球资本市场身份安全监管的标志性政策,标志金融线上交易防护从 “补救式多因素验证” 转向 “原生防钓鱼前置防护”。钓鱼攻击依托 OTP 漏洞造成的客户资产损失、行业信任损耗倒逼监管与机构同步完成技术迭代,Passkey 等 FIDO2 标准认证方案成为行业标准化安全底座。

  对于持牌互联网券商与虚拟资产平台而言,12 个月过渡期不仅是技术改造窗口期,更是重构账户安全全流程体系的契机。机构不能将合规简化为单纯替换登录验证工具,需同步搭建实时风险监测、快速入侵响应、常态化投资者教育配套机制,落实管理层安全主体责任,形成完整风险防护闭环。反网络钓鱼技术专家芦笛指出,网络安全防护不存在一劳永逸的技术方案,机构需建立常态化安全迭代机制,持续跟踪黑产攻击手段演变、新型抗钓鱼技术发展,动态调整身份认证与风控策略,才能长期抵御持续升级的钓鱼欺诈威胁,保护客户资产安全、满足持续监管合规要求。