Hong Kong’daki kripto yatırımcıları, alım satım platformlarına giriş yapma şekillerinin dramatik biçimde değiştiğini görmek üzereler. Hong Kong Menkul Kıymetler ve Vadeli İşlemler Komisyonu, şehirdeki tüm sanal varlık alım satım platformlarına ve çevrimiçi aracı kurumlara tek kullanımlık şifreleri ortadan kaldırmalarını ve bunların yerine daha güçlü, kimlik avına dayanıklı giriş yöntemleri getirmelerini emrederek, 12 ay içinde uygulanmak üzere kapsamlı yeni Hong Kong kripto kimlik avı düzenlemeleri getirdi.
Summary
Öne çıkan noktalar
- SFC, kripto platformları ve çevrimiçi aracı kurumlar için SMS, e-posta ve uygulama tabanlı yöntemlerle OTP (tek kullanımlık şifre) tabanlı girişleri yasakladı ve 12 aylık bir uygulama süresi tanıdı.
- Onaylanan alternatifler arasında geçiş anahtarları (passkey), kriptografik doğrulama kullanan kayıtlı cihazlar ve donanım güvenlik anahtarları bulunuyor.
- Kimlik avı saldırıları ve sosyal mühendislik dolandırıcılıkları, yalnızca 2026’nın ilk çeyreğinde kripto endüstrisinde toplam 482 milyon dolarlık kaybın içinde 306 milyon dolarlık zarara neden oldu.
- Sahtecilik ve dolandırıcılık saldırıları, 2025 yılında Hong Kong Siber Güvenlik Kaza Koordinasyon Merkezi’ne bildirilen tüm siber güvenlik olaylarının %57’sini oluşturdu.
- SFC, lisanslı şirketlerdeki üst düzey yönetimi, yetersiz iç kontrollerden kaynaklanan müşteri kayıplarından doğrudan sorumlu tutacak.
Hong Kong, kripto platformları için kimlik avına dayanıklı giriş zorunluluğu getiriyor
Düzenleyici eylem, finansal hizmetlerde en yaygın kullanılan hesap kimlik doğrulama biçiminden sert bir kopuşa işaret ediyor. Tek kullanımlık şifreler — kısa mesaj, e-posta veya kimlik doğrulama uygulamasıyla iletilen altı haneli kodlar — uzun süredir iki faktörlü giriş için sektör standardıydı. SFC artık bunları modern kimlik avı tekniklerine karşı yetersiz görüyor ve şirketlere bu geçişi isteğe bağlı değil, acil bir zorunluluk olarak ele almalarını söylüyor.
Özellikle büyük internet aracı kurumlarına, 12 aylık sürenin dolmasını beklemek yerine derhal harekete geçmeleri gerektiği bildirildi.
Tek kullanımlık şifrelerin 12 ay içinde aşamalı olarak kaldırılması
Yeni genelge, tüm lisanslı platformlarda OTP tabanlı girişleri yasaklıyor. SFC’nin tutumu net: geleneksel tek kullanımlık şifreler, sosyal mühendislik, sahtecilik kampanyaları ve kullanıcıları sahte arayüzlerde kimlik bilgilerini girmeye kandıran kimlik avı siteleri aracılığıyla ele geçirilmesi veya kopyalanması için çok kolay.
Düzenleyici ayrıca şirketlerin şüpheli giriş, alım satım ve para çekme faaliyetlerini işaretlemek için tespit ve gözetim sistemleri uygulamasını zorunlu kılıyor. Platformlar, önemli hesap işlemleri hakkında müşterileri derhal bilgilendirmeli ve saldırı olaylarına gecikmeden yanıt vermeli. Ortaya çıkan kimliğe bürünme dolandırıcılıkları hakkında müşterilere düzenli uyarılar göndermek de artık uyumluluk çerçevesinin bir parçası.
Önemli olarak, SFC nihai sorumluluğun üst yönetimde olduğunu açıkça belirtti. İç sistemleri yetersiz kalan şirketler, ortaya çıkan müşteri kayıplarından sorumlu tutulabilir — bu sorumluluk çerçevesi, bu genelgeye gerçek bir yaptırım gücü kazandırıyor.
Onaylanan kimlik doğrulama yöntemleri ve cihaz bağlama
SFC, kabul edilebilir kimlik avına dayanıklı çözümler için üç kategori belirledi: geçiş anahtarları (passkey), kriptografik doğrulama kullanan kayıtlı cihazlar ve donanım güvenlik anahtarları. Üçünün de ortak bir özelliği var — kimlik doğrulamayı, kullanıcı sahte bir siteyi ziyaret etmeye kandırılsa bile uzaktan kolayca ele geçirilemeyen veya kopyalanamayan fiziksel bir cihaza veya kriptografik bir kanıta bağlıyorlar.
Bu yaklaşım, küresel ölçekte kimlik avına dayanıklı kimlik doğrulama standartlarının nasıl evrildiğini yansıtıyor. Saldırganların ortadaki adam (man-in-the-middle) saldırılarıyla gerçek zamanlı olarak toplayabildiği OTP’lerin aksine, geçiş anahtarları ve donanım anahtarları, kayıtlı gerçek cihaza sahip olmayı gerektiriyor. Çalınacak bir kod yok.
Artan kimlik avı ve dolandırıcılık kayıpları kripto yatırımcılarını tehdit ediyor
SFC bu emri boşlukta vermedi. Arkasındaki rakamlar rahatsız edici bir tablo çiziyor.
Küresel kripto kimlik avı kayıpları ve son dolandırıcılıklar
Kimlik avı saldırıları ve sosyal mühendislik dolandırıcılıkları, 2026’nın ilk çeyreğinde kripto endüstrisinde 306 milyon dolarlık kayıp üretti — bu da aynı dönemdeki toplam 482 milyon dolarlık sektör kaybının çoğunluğunu oluşturuyor. 2026’nın ilk yarısına gelindiğinde, kimlik avıyla bağlantılı kayıplar 366 milyon dolara yükselmişti; bu da tek seferlik bir sıçramadan ziyade hızlanan bir trende işaret ediyor.
Bireysel olaylar da aynı derecede endişe verici bir tablo çiziyor. SFC’nin genelgesinden sadece birkaç gün önce, bir kripto yatırımcısı Ethereum üzerinde kötü amaçlı bir kimlik avı token onay işlemini imzaladıktan sonra neredeyse 1 milyon dolar kaybetti. Aynı ayın başlarında, bir cüzdan sahibi sahte bir borsaya bağlanıp kötü amaçlı bir sözleşme imzaladıktan sonra 1,65 milyon dolar kaybetti — araştırmacı Ryan Coleman’a göre bu işlem, saldırganlara fonlara sınırsız erişim verdi. 25 Mayıs’ta zincir üstü analist “b-block”, dolandırıcıların merkeziyetsiz borsa Uniswap‘i taklit eden kötü amaçlı Google reklamları yayınladığını ve gerçek platformu ziyaret ettiklerine inanan kurbanlardan 400.000 dolardan fazla çaldıklarını bildirdi.
Hong Kong siber güvenlik olay istatistikleri
Yerel düzeyde de tehdit profili aynı derecede ciddi. Hong Kong Siber Güvenlik Kaza Koordinasyon Merkezi verileri, sahtecilik ve dolandırıcılık saldırılarının 2025 yılında bildirilen tüm güvenlik olaylarının %57’sini oluşturduğunu gösteriyor. Tek bir tehdit kategorisinde — sahtecilik ve kimliğe bürünme — bu risk yoğunlaşması, yeni SFC gerekliliklerinin doğrudan karşılamayı amaçladığı tehditle birebir örtüşüyor.
Yerel olay verilerinin küresel kimlik avı kayıplarıyla kesişmesi, bu düzenlemenin zamanlamasını anlaşılır kılıyor. Hong Kong’un kripto pazarı genişliyor ve lisanslı platformlarda daha fazla kullanıcı olması, daha büyük bir saldırı yüzeyi anlamına geliyor. SFC, büyük bir yerel olayın kendisini harekete geçmeye zorlamasından önce adım atıyor gibi görünüyor.
Sektör tepkileri ve daha güçlü cüzdan güvenliği çağrıları
Binance kurucu ortağı, geliştirilmiş cüzdan korumalarını savunuyor
Güvenlik standartlarını yükseltme baskısı yalnızca düzenleyicilerden gelmedi. Binance’in kurucu ortağı Changpeng Zhao, Aralık 2025’te bir yatırımcının adres zehirleme saldırısında 50 milyon dolar kaybetmesinin ardından kamuoyuna daha iyi cüzdan güvenlik önlemleri çağrısında bulundu. Adres zehirleme, kimlik avından farklı bir saldırı vektörüdür — kurbanın işlem geçmişine neredeyse aynı görünen sahte bir cüzdan adresi yerleştirerek çalışır — ancak aynı daha geniş modeli yansıtır: saldırganlar, küçük dalgınlık anlarını yıkıcı finansal sonuçlarla sömürür.
Bu olayın ölçeği ve bunu gündeme getiren kişinin kamuoyu profili, 2026’ya girerken kripto güvenliğini sektör tartışmalarında gündemde tutmaya yardımcı oldu.
Alarm yaratan dikkat çekici adres zehirleme dolandırıcılıkları
Adres zehirleme, son dönemdeki en çarpıcı bireysel kayıp rakamlarından bazılarını üretti. Mayıs 2024’te bir kurban, bir adres zehirleme saldırısında 71 milyon dolar kaybetti — nihayetinde saldırganın, araştırmacıların olası bir IP adresini tespit ettiklerini iddia etmesinin ardından tam tutarı iade etmesiyle sonuçlanan alışılmadık bir vaka. Bu sonuç istisnaiydi. Bu tür planlarda çoğu kurban hiçbir şey geri alamıyor.
Kripto kimlik avıyla mücadeleye dair uzman görüşleri
“Müşteri hesaplarını giderek daha karmaşık ve değişken sahtecilik ve dolandırıcılık saldırılarından korumak için, önleme, tespit, müdahale ve eğitimle birlikte kapsamlı önlemler uygulanmalıdır,” dedi Çin Menkul Kıymetler Düzenleme Komisyonu Aracılar Dairesi İcra Direktörü Ye Zhiheng.
Çerçevenin nasıl kurulduğu önemli. Daha iyi kimlik doğrulama yoluyla önleme yalnızca bir katman. Tespit sistemleri, hızlı olay müdahalesi ve sürekli kullanıcı eğitimi, düzenleyicilerin artık gerekli gördüğü yaklaşımın geri kalanını oluşturuyor. SFC’nin genelgesi bu katmanlı düşünceyi yansıtıyor — yalnızca daha iyi giriş teknolojisi zorunlu kılmakla kalmıyor. Şirketlerden, giriş ekranından müşteri iletişimine kadar entegre bir güvenlik duruşu inşa etmelerini istiyor.
Düzenlemenin henüz yanıtlamadığı soru, daha küçük sanal varlık alım satım platformlarının, donanım güvenlik anahtarlarını ve kriptografik cihaz bağlamayı ölçekli biçimde uygulamanın maliyetini ve teknik karmaşıklığını nasıl karşılayacağı. 12 aylık süre, şirketlere planlama alanı tanıyor, ancak güvenlik mühendisliği kapasitesi açısından büyük bir lisanslı aracı kurum ile daha küçük bir VATP arasındaki fark gerçek. SFC’nin bu eşitsizliği nasıl ele alacağı — ve uyumsuzluk için verilecek cezaların orantılı olup olmayacağı — bu zorunluluğun gerçekte ne kadar etkili olacağını belirleyebilir.
SSS
Hong Kong Menkul Kıymetler ve Vadeli İşlemler Komisyonu kripto platformlarına hangi yeni giriş gerekliliklerini getirdi?
SFC, kripto platformları ve çevrimiçi aracı kurumların kimlik avına dayanıklı kimlik doğrulama yöntemleri — özellikle geçiş anahtarları (passkey), kriptografik doğrulamalı kayıtlı cihazlar ve donanım güvenlik anahtarları — benimsemelerini ve SMS, e-posta veya uygulama tabanlı girişlerle iletilen tek kullanımlık şifreleri yasaklamalarını şart koşuyor. Şirketlerin değişiklikleri uygulamak için 12 ayı var, ancak büyük internet aracı kurumlarına derhal harekete geçmeleri söylendi.
Bu yeni kimlik avına dayanıklı giriş yöntemleri neden şimdi zorunlu kılınıyor?
Bu zorunluluk, 2026’nın ilk çeyreğinde kripto endüstrisinde 306 milyon dolarlık kayba neden olan kimlik avı saldırıları ve sosyal mühendislik dolandırıcılıklarındaki keskin artışın yanı sıra, 2025’te Hong Kong’da bildirilen siber güvenlik olaylarının %57’sini sahtecilik ve dolandırıcılık saldırılarının oluşturduğunu gösteren verileri takip ediyor. SFC, OTP’leri mevcut saldırı tekniklerinin karmaşıklığına karşı yetersiz görüyor.
Hong Kong düzenleyicisi tarafından tek kullanımlık şifrelere alternatif olarak hangi yöntemler kabul ediliyor?
SFC, kimlik avına dayanıklı üç çözüm kategorisini onayladı: geçiş anahtarları (passkey), kriptografik doğrulamalı kayıtlı cihazlar ve donanım güvenlik anahtarları. Bu yöntemler, kimlik doğrulamayı fiziksel bir cihaza veya kriptografik bir kanıta bağlayarak, saldırganların bunları sahte siteler veya sosyal mühendislik yoluyla ele geçirmesini önemli ölçüde zorlaştırıyor.
Kripto endüstrisinin bu kimlik avı tehditlerine tepkisi ne oldu?
Binance kurucu ortağı Changpeng Zhao da dahil olmak üzere sektör liderleri, Aralık 2025’teki 50 milyon dolarlık adres zehirleme dolandırıcılığı gibi yüksek profilli olayların ardından daha güçlü cüzdan güvenliği çağrısında bulundular. SFC’nin eylemi, sektörün önde gelen isimlerinin aylardır gayriresmi olarak savunduğu talepleri resmileştiriyor.
{“@context”:”https://schema.org”,”@type”:”FAQPage”,”mainEntity”:[{“@type”:”Question”,”name”:”Hong Kong Menkul Kıymetler ve Vadeli İşlemler Komisyonu kripto platformlarına hangi yeni giriş gerekliliklerini getirdi?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”SFC, kripto platformları ve çevrimiçi aracı kurumların kimlik avına dayanıklı kimlik doğrulama yöntemleri — özellikle geçiş anahtarları (passkey), kriptografik doğrulamalı kayıtlı cihazlar ve donanım güvenlik anahtarları — benimsemelerini ve SMS, e-posta veya uygulama tabanlı girişlerle iletilen tek kullanımlık şifreleri yasaklamalarını şart koşuyor. Şirketlerin değişiklikleri uygulamak için 12 ayı var, ancak büyük internet aracı kurumlarına derhal harekete geçmeleri söylendi.”}},{“@type”:”Question”,”name”:”Bu yeni kimlik avına dayanıklı giriş yöntemleri neden şimdi zorunlu kılınıyor?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Bu zorunluluk, 2026’nın ilk çeyreğinde kripto endüstrisinde 306 milyon dolarlık kayba neden olan kimlik avı saldırıları ve sosyal mühendislik dolandırıcılıklarındaki keskin artışın yanı sıra, 2025’te Hong Kong’da bildirilen siber güvenlik olaylarının %57’sini sahtecilik ve dolandırıcılık saldırılarının oluşturduğunu gösteren verileri takip ediyor. SFC, OTP’leri mevcut saldırı tekniklerinin karmaşıklığına karşı yetersiz görüyor.”}},{“@type”:”Question”,”name”:”Hong Kong düzenleyicisi tarafından tek kullanımlık şifrelere alternatif olarak hangi yöntemler kabul ediliyor?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”SFC, kimlik avına dayanıklı üç çözüm kategorisini onayladı: geçiş anahtarları (passkey), kriptografik doğrulamalı kayıtlı cihazlar ve donanım güvenlik anahtarları. Bu yöntemler, kimlik doğrulamayı fiziksel bir cihaza veya kriptografik bir kanıta bağlayarak, saldırganların bunları sahte siteler veya sosyal mühendislik yoluyla ele geçirmesini önemli ölçüde zorlaştırıyor.”}},{“@type”:”Question”,”name”:”Kripto endüstrisinin bu kimlik avı tehditlerine tepkisi ne oldu?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Binance kurucu ortağı Changpeng Zhao da dahil olmak üzere sektör liderleri, Aralık 2025’teki 50 milyon dolarlık adres zehirleme dolandırıcılığı gibi yüksek profilli olayların ardından daha güçlü cüzdan güvenliği çağrısında bulundular. SFC’nin eylemi, sektörün önde gelen isimlerinin aylardır gayriresmi olarak savunduğu talepleri resmileştiriyor.”}}]}
Bu makale, yapay zekâ desteğiyle hazırlanmış ve editör ekibi tarafından gözden geçirilmiştir.

