深度伪造诈骗升级：香港企业如何重设客户核验、支付与客服流程？

深度伪造诈骗升级：香港企业如何重设客户核验、支付与客服流程？

一家香港培训中心的前台收到“熟客”语音信息，要求当天更改课程名单和退款账户；一家物流公司的客服接到视频电话，对方自称是企业客户的采购经理，要求重新发送支付链接；一家专业服务公司的财务同事收到高度逼真的主管语音，要求先处理一笔紧急转账。过去，这些情况可能只是可疑电话或钓鱼信息，但在深度伪造技术(Deepfake)和生成式人工智能普及之后，企业不能再只靠听声音、看样貌或凭熟悉感来判断真假。

2026 年 5 月 29 日，南华早报报道香港警务处与数码港启动 Smart Policing Joint Innovation Lab，重点应对大规模诈骗、深度伪造威胁和人工智能驱动的科技罪案。数码港同期的 AI Frontier 2026 活动也显示，香港有关人工智能的讨论，已经从应用展示进入真实运营风险阶段。对中小企业来说，这不是一条遥远的警务科技新闻，而是在提醒企业重新审视客服、支付、预约、客户关系管理系统(CRM)和事件处置流程。

深度伪造风险不只发生在财务部

很多企业一想到深度伪造诈骗，就会想到冒充老板要求转账。这当然是高风险场景，但真正的运营风险更广。诈骗者可能冒充客户、供应商、分店经理、课程家长、物业租户或售后服务人员，要求更改电话、重发登录链接、更新支付方式、查询订单或取消预约。

例如一家零售商的客服团队每天都要处理取货、退款和会员积分查询。如果员工只靠姓名、电话尾号和语气来确认身份，深度伪造声音加上泄露资料，就足以制造可信情境。更稳妥的做法，是按风险划分操作：查询订单属于低风险；更改退款账户、重置密码、修改配送地址、索取一次性验证码和发送支付链接属于高风险。高风险操作必须进入固定核验流程，而不是由客服当场凭感觉判断。

建立“不能被语音或视频取代”的核验规则

企业要先明确一条原则：语音和视频只是沟通渠道，不能单独作为授权证明。即使对方声音像主管、样貌像客户，系统也应要求第二项独立证据。

实际控制可以很简单。财务付款需要工单编号、内部审批记录和已登记收款账户；预约变更需要客户登录已登记账户，或由公司拨打已登记电话回访；退款需要订单记录、退款原因和主管审批；企业客户更改联系人，需要通过已登记公司邮箱确认。这些规则应写入客服知识库、财务制度和系统权限，而不是只在培训时提醒一次。

以培训中心为例，家长通过即时通讯工具要求把退款转到新账户，前台不应直接在对话中处理。团队可以在预约系统(Booking System)中建立退款工单，检查原支付记录，再由主管按已登记电话回访。这样做不是为了增加手续，而是把员工从“靠直觉判断真假”的压力中解放出来。

把支付链接变成可追踪的工作流事项

深度伪造诈骗最危险的地方，是它会制造紧迫感。对方可能说课程名额即将过期、货件需要补交费用、合同必须当天付款，或主管正在开会不方便正常回复。当支付流程仍依赖人工信息、短链接和截图时，员工很容易在时间压力下犯错。

香港企业应把每一条支付链接变成系统生成的工作流事项。每条链接都应对应订单、客户、金额、到期日、发送渠道、创建人和审批人。客服不应手动输入或复制支付网址；财务也不应在即时通讯对话中临时更改收款资料。

例如一家专业服务公司收取项目尾款，可以由客户关系管理系统(CRM)或发票系统生成支付记录，再由系统发送通知。如果客户声称收到另一条支付链接，客服可以马上在系统中核查：官方链接是否存在、由谁创建、金额是否一致。这比单纯提醒客户“小心假链接”更有效，因为公司内部有记录可查。

客服话术要加入反深度伪造确认

很多防诈骗提示都放在网站页脚或公告页，客户未必会看到。真正有效的位置，是风险发生的那一刻：支付、退款、账户重置、改期、改地址、投诉升级和转人工客服。

客服话术可以加入固定确认句，但要具体，不要空泛。例如：“我们不会只凭语音或视频要求你提供一次性验证码；如需退款，我们只会退回原支付渠道或已登记账户。”又例如：“如果你收到声称来自本公司主管或客服、要求立即转账的信息，请先通过官方电话或网站表单核实。”这些句式应放入客服系统模板，并按不同流程自动带出。

对物流或维修公司来说，客户经常查询上门时间和额外费用。系统可以在改期或补费通知中加入官方渠道提示，并禁止员工用私人账号发送收款资料。对诊所、培训中心或会所来说，预约改期和退款是高频场景，核验步骤应成为前台操作清单的一部分。

管理层和财务要建立“暂停核实”文化

深度伪造诈骗常利用权威和紧迫感。诈骗者冒充管理层时，最常见的弱点往往不是技术，而是员工不敢延迟、不敢反问、不敢要求第二人确认。企业需要把“暂停核实”写成制度，让员工知道按流程停下来是被允许的。

可以设置三条简单规则。第一，任何新收款账户、跨境付款、非常规退款或紧急转账，都要离开原沟通渠道再核实。第二，主管语音或视频指示不能取代系统审批。第三，如果要求带有保密、急迫或绕过正常流程的特点，员工必须升级给指定审批人。

例如一家贸易公司收到“董事”视频电话，要求当天支付供应商订金，财务同事不应在同一个视频通话中完成付款。正确做法是到企业资源计划系统(ERP)或审批系统查找采购单、供应商主档和付款条款，再由第二位授权人通过已登记公司电话或内部系统确认。这条流程应定期演练，而不是出事后才补文件。

事件处置要从“删除信息”变成“保留证据”

当客户或员工怀疑遇到深度伪造诈骗，第一反应可能是删除信息、拉黑对方或在群组提醒大家小心。这些动作可以理解，但如果没有保留证据，公司之后很难判断是否涉及资料泄露、支付风险或品牌冒用。

一个可执行流程是：客服先记录可疑电话、语音、视频、链接、截图、收款资料、时间和涉及客户；运营主管判断是否涉及支付、个人资料或账户权限；信息技术或网站负责人检查是否有异常登录、假域名或系统通知被滥用；管理层决定是否需要客户公告、报警，或向香港电脑保安事故协调中心(HKCERT)查询支援。