Hongkong verbiedt SMS- en e-mail-logins voor crypto-platforms: volgen andere toezichthouders?

  • SFC Hongkong verbiedt OTP-inlog voor crypto-platforms en brokers.
  • Phishing veroorzaakte 57% van de 15.877 cyberincidenten in de regio in 2025.
  • Operators moeten binnen 12 maanden passkeys of device binding toepassen.
Promo

De effectenwaakhond van Hongkong heeft een verbod ingesteld op eenmalige wachtwoord-inlogmethodes (OTP’s) bij crypto trading platforms. Deze nieuwe regel is ingesteld vanwege phishing-scams die voor een sterke toename van cyberaanvallen in de regio zorgen.

De Securities and Futures Commission heeft een rondschrijven uitgegeven. Daarin wordt internet brokers en crypto trading platforms opgedragen te stoppen met OTP’s via sms, e-mail en apps.

Platforms moeten voortaan voor client inloggen en apparaat-koppeling gebruikmaken van passkeys en andere phishing-bestendige methoden. Exploitanten krijgen 12 maanden om zich aan de nieuwe regel aan te passen, behalve de grote brokers die direct moeten omschakelen. De SFC waarschuwde voor de risico’s van OTP’s al in haar richtlijn van februari 2025. Met deze circulaire wordt die overstap nu verplicht.

Gesponsord
Gesponsord

Phishing zorgt voor recordaantal cyberincidenten

In Hongkong werden er in 2025 in totaal 15.877 cybersecurity-incidenten geregistreerd. Volgens de SFC betekent dit een stijging van 27% in vergelijking met het jaar daarvoor. Bij 57% van de gevallen ging het om phishing. Botnet-aanvallen waren goed voor 18%, en malware voor 15%.

Het totaal in 2025 is daarmee meer dan dubbel zoveel als de 7.752 incidenten uit 2023.

HKCERT verdeling van incidentmeldingen 2025
HKCERT verdeling van incidentmeldingen 2025. Bron: HKCERT

Wereldwijd werd door phishing met crypto-wallets ongeveer $306 miljoen verloren in alleen al het eerste kwartaal van 2026. Daardoor besloot de SFC tot actie. Aanvallers gebruiken steeds vaker gestolen gegevens in plaats van technische hacks om crypto-gebruikers te benaderen. BeInCrypto rapporteerde deze maand een soortgelijk patroon, toen een phishing-handtekening $999.999 in USDT uit één Ethereum-wallet stal.

HKCERT Security Incident Reports 2025
HKCERT Security Incident Reports 2025. Bron: HKCERT

Nieuwe regels duwen crypto platforms naar passkeys

Platforms moeten verdachte logins, transacties en opnames signaleren. Ook moeten ze hun klanten informeren bij belangrijke account-activiteit. Volgens Eric Yip van de SFC hebben bedrijven sterke authenticatie en snelle respons op incidenten nodig. Toch, alleen preventie houdt een vastberaden aanvaller meestal niet tegen, voegt hij toe.

Ook decentrale crypto platforms hebben te maken met deze risico’s. Zo werd er bij een neppe airdrop phishing-scam onlangs $12.300 gestolen bij een HyperSwap-gebruiker in minder dan 90 seconden. Ook via een neppe Uniswap phishing-site werd rond dezelfde tijd ongeveer $400.000 gestolen uit meerdere wallets. Uit deze voorbeelden blijkt dat een OTP-verbod slechts een deel van het bredere probleem van gestolen inloggegevens in de crypto-industrie aanpakt.

Wereldwijde toezichthouders hebben hetzelfde phishing-probleem

De SFC stelt nu het senior management direct verantwoordelijk voor verliezen van klanten. Ook worden zwakke cybersecurity-maatregelen meteen hun verantwoordelijkheid, wat strenger is dan eerdere regels. Bedrijven die de 12 maanden-deadline missen, kunnen straffen en reputatieschade oplopen binnen de crypto-sector. Grote brokers worden nu direct gecontroleerd onder de nieuwe regels.

Ook toezichthouders in andere landen hebben te maken met phishing-aanvallen. De wereldwijde cybercrime-aanpak van de FBI en Tether’s aanpak van cryptocriminaliteit met TRON’s T3-team richten zich ook op netwerken gebouwd op gestolen inloggegevens. Het verbod in Hongkong zorgt nu voor vragen bij toezichthouders in Singapore, het VK en andere landen. Gaan zij hun eigen phishing-bestendige regels invoeren, of wachten ze tot de verliezen groter worden?


Om de nieuwste analyse van de cryptomarkt van BeInCrypto te lezen, klik hier.

Disclaimer

Alle informatie op onze website wordt te goeder trouw en uitsluitend voor algemene informatiedoeleinden gepubliceerd. Elke actie die de lezer onderneemt op basis van de informatie op onze website is strikt op eigen risico.

Gesponsord
Gesponsord