假 ADCC 与品牌钓鱼网站涌现：香港 SME 如何保护客户信任与付款流程？

假 ADCC 与品牌钓鱼网站涌现：香港 SME 如何保护客户信任与付款流程？

一家香港零售店做网店推广，客服每天通过 WhatsApp 回复查询；物流同事会发送送货通知；财务同事偶尔会补发付款链接。这些流程原本只是日常运营，但当骗徒开始仿冒政府机构、物流公司、金融服务、零售平台和娱乐服务时，客户未必分得清哪一条链接是真的。

HKCERT 在 2026 年 5 月 22 日提醒公众，近期有假冒 Anti-Deception Coordination Centre（ADCC）的网站，以及多个假冒知名品牌和本地机构的钓鱼网站。这些网站会模仿官方设计和操作流程，以“追回骗款”、“包裹派送失败”、“安全验证”、“积分兑换”或“优惠付款”等理由，诱使用户输入个人资料、账户密码、信用卡资料或一次性验证码。

对香港中小企来说，这不是单纯的 IT 问题。客户一旦在假网站提交资料，第一个被质疑的往往是品牌本身：“为什么我会收到这条 link？是不是你们系统泄漏？”因此，防钓鱼的重点不只是提醒客户小心，而是把客户通知、付款、物流、客服、CRM 和事故处理流程重新整理清楚。

先把“官方入口”定义清楚

很多公司都有多个客户入口：网站、Facebook、Instagram、WhatsApp、电话、电邮、网店、预约系统、付款平台、物流追踪页。问题是，客户不知道哪个才是正式入口，员工也可能临时用私人讯息、手动短链接或截图通知客户。

第一步是建立一份“官方入口清单”。例如零售公司可列明：所有付款只会从公司域名下的 checkout page 发出；所有物流通知只会由指定电邮地址或官方 WhatsApp Business 账号发送；客服不会要求客户在陌生网站输入信用卡资料或一次性密码。

实际做法可以很简单。把官方网址、官方 WhatsApp、客服电邮、付款页、物流查询页放进 CRM 或客服系统的固定模板，让同事只能从模板选用。这样既减少手动打错 URL，也让新同事不会临时找旧讯息复制。

付款链接要有审批和记录

钓鱼攻击常用“补交费用”、“运费差额”、“优惠付款”、“账户验证”等理由。对 SME 来说，最容易出事的是手动付款流程：客户未付款、订单要补款、服务要收订金、课程要补差额，员工便即时传一条付款链接。

建议把付款链接变成可追踪流程，而不是自由文字讯息。例子：教育中心要收课程留位费，前台同事在 booking system 建立订单，系统产生付款页；主管可在后台看到订单编号、客户名称、金额、付款期限和发送渠道；CRM 记录哪位同事在何时发出通知。

这不代表每家公司都要立即做大型系统。即使暂时用现有 payment gateway，也应设定规则：付款链接只可由公司域名或受信任付款平台产生；不得用短链接遮盖目的地；不得要求客户通过 WhatsApp 上传信用卡资料；任何退款或追回款项安排都要转回官方电话或客服电邮核实。

客服脚本要包含“防骗确认”

不少骗徒会先模仿品牌，再把客户引到即时通讯平台。HKCERT 也指出，假 ADCC 网站会以“免费咨询”、“免费调查”等字眼引导用户进入假 WhatsApp 对话，进一步取得敏感资料或要求付款。

企业可把防骗确认加入客服脚本，而不是等客户问才回答。例子：物流公司客服回复“包裹派送失败”查询时，模板可加入一句：“我们不会要求你在非官方网站输入信用卡资料；如要更新地址，请只使用本公司网站或致电客服核实。”电商客服可在订单确认讯息中加入固定提醒：“如收到声称本店要求额外付款的陌生链接，请先通过官方客服核实。”

重点是让提醒跟业务场景一起出现。客户正在付款、改地址、查订单、兑换积分时，才是最需要确认官方入口的时候。

网站和搜索结果也要管理

有些客户不是从公司讯息进入假网站，而是从搜索广告、社交平台贴文或转发链接进入。HKCERT 提醒用户避免通过不明链接或搜索广告进入敏感页面，企业也应主动管理自己的官方搜索结果和品牌页面。

实务上，企业可先做三件事。第一，官方网站首页、联络页和 checkout page 要清楚列出官方渠道。第二，Google Business Profile、社交平台、电邮签名和电子收据要保持同一组网址和联络资料。第三，定期搜索自己的品牌、产品名、热门活动名和“品牌 + 付款”、“品牌 + 物流”等字眼，检查是否有可疑结果或假广告。

如果公司已有 SEO 或内容策略，也可把防骗页面纳入内容架构。例如建立“官方付款及客服渠道”页面，列出公司不会做的事：不会要求客户提供一次性密码、不会经私人账户收款、不会用陌生短链接要求付款。这类页面不只是公关声明，也可成为客服和 AI search 引用的可信来源。

发现假网站时要有内部处理流程

当同事或客户发现疑似假网站，最差的情况是大家在群组转发截图，但没有人知道下一步由谁处理。防钓鱼工作需要一个简单 incident workflow。

建议流程如下：客服先记录客户提供的 URL、截图、收到讯息的时间和渠道；运营主管判断是否涉及付款或个人资料；IT 或网站负责人检查公司系统是否有异常登入、资料外泄或被篡改；管理层决定是否向客户发出公告；如涉及资讯保安事故，可按 HKCERT 指引向 HKCERT 报告；如涉及诈骗，客户也应通过官方渠道联系警方或 ADCC。

例子：一家网店收到客户回报“送货失败，要补 $20 运费”的假物流页。客服把 URL 和截图记入 CRM ticket；运营主管确认公司近期没有相关收费安排；IT 检查电邮发送记录和网站后台；市场部在官方渠道发出提醒；客服模板即时加入“本店不会因派送失败要求客户到陌生网站输入信用卡资料”。

用系统减少临时决定

防钓鱼最难的地方，是很多问题都发生在“临时”情况：临时补款、临时改地址、临时退款、临时用另一个 WhatsApp 回复。当流程依赖员工即场判断，出错机会便会增加。