深偽詐騙升級：香港企業如何重設客戶驗證、付款與客服流程？

深偽詐騙升級：香港企業如何重設客戶驗證、付款與客服流程？

一間香港教育中心的前台收到「熟客」語音訊息，要求即日更改課程名單和退款戶口；一間物流公司客服接到視像電話，對方聲稱是企業客戶的採購經理，要求重發付款連結；一間專業服務公司財務同事收到像真度很高的主管語音，要求先處理一筆緊急轉帳。這些情況以前可能只是「可疑電話」或「釣魚訊息」，但在深偽技術(Deepfake)與生成式人工智能普及後，企業不能再只靠員工聽聲、看樣或憑熟悉感判斷。

2026 年 5 月 29 日，南華早報報道香港警務處與數碼港啟動 Smart Policing Joint Innovation Lab，聚焦大型詐騙、深偽威脅和 AI 驅動的科技罪案。數碼港同日相關活動亦顯示，香港的 AI 生態已經由「應用示範」進入「真實營運風險」階段。對中小企來說，這不是一篇遙遠的警務科技新聞，而是提醒我們：客戶服務、付款、預約、客戶關係管理系統(CRM)和事故回應流程都要重新設計。

深偽風險不是只發生在財務部

很多企業一想到深偽詐騙，只會想到「冒認老闆叫人轉帳」。這當然是高風險場景，但真正的營運風險更廣。騙徒可以冒認客戶、供應商、分店經理、課程家長、物業租戶或售後服務人員，要求更改電話、重發登入連結、更新付款方法、查詢訂單或取消預約。

例如一間零售商的客服團隊每天處理取貨、退款和會員積分。如果員工只靠對方提供姓名、電話尾數和語音語氣來確認身份，深偽聲音加上外洩資料就足以製造可信情境。更穩妥的做法，是把高風險操作分級：查詢訂單屬低風險；更改收款戶口、重設密碼、要求退款、修改送貨地址和索取一次性密碼屬高風險。高風險操作必須轉入固定核實流程，而不是由客服即場判斷。

建立「不可被語音或視像取代」的核實規則

企業要先明確一件事：語音和視像只能作為溝通渠道，不能單獨作為授權證明。即使對方聲音像老闆、樣貌像客戶，系統也應要求第二條獨立證據。

實際做法可以很簡單。財務付款需要工單編號、內部審批紀錄和已登記收款戶口；預約更改需要客戶登入已登記帳戶或由官方電話回撥；退款需要訂單紀錄、退款原因和主管批核；企業客戶要求更改聯絡人，需要由已登記公司電郵確認。這些規則應寫入客戶服務知識庫、財務程序和系統權限，而不是只在培訓時提醒一次。

以教育中心為例，家長透過即時通訊工具要求把退款轉到新戶口，前台不應在對話中直接處理。系統可以要求員工在預約系統(Booking System)建立退款工單，檢查原付款紀錄，再由主管按既定渠道向已登記電話回撥。這樣做不是為了增加行政程序，而是把員工從「靠直覺判斷真假」的壓力中抽離出來。

把付款連結變成可追蹤工作流

深偽詐騙最危險的地方，是它會製造緊急感。對方可能說活動名額快到期、貨件需要補交費用、合約要即日付款，或主管正在會議中不方便回覆。當付款流程仍然依賴人手訊息、短連結和截圖，員工很容易在時間壓力下犯錯。

香港企業應把付款連結變成系統產生的工作流項目。每一條付款連結都應對應訂單、客戶、金額、到期日、發送渠道、產生人和批核人。客服不應自行輸入或複製付款網址；財務亦不應在即時通訊中臨時更改收款資料。

例如一間專業服務公司收取顧問費尾數，可以由客戶關係管理系統(CRM)或發票系統產生付款紀錄，再由系統發出通知。若客戶聲稱收到另一條付款連結，客服可以即時在系統查核「官方連結是否存在、由誰發出、金額是否一致」。這比單純叫客戶「小心假連結」更有效，因為公司本身有紀錄可查。

客服腳本要加入反深偽確認

很多防詐騙提示都放在網站頁腳或公告頁，客戶未必會看。真正有效的位置，是風險發生的一刻：付款、退款、重設帳戶、改期、改地址、投訴升級和轉接真人客服。

客服腳本可以加入固定確認句式，但不要流於空泛。例如：「我們不會只憑語音或視像要求你提供一次性密碼；如需退款，我們只會退回原付款渠道或已登記帳戶。」又例如：「若你收到聲稱本公司主管或客服要求即時轉帳的訊息，請先透過官方電話或網站表格核實。」這些句式應放入客服系統模板，並按不同流程自動帶出。

對物流或維修公司來說，客戶經常查詢上門時間和額外費用。系統可以在改期或補費通知中加入「官方渠道」提示，並禁止員工用私人帳號傳送收款資料。對診所、教育中心或會所來說，預約改期和退款是高頻場景，應把核實步驟放入前台操作清單。

管理層和財務要有「延遲確認」文化

深偽詐騙常利用權威和緊急感。騙徒冒認管理層時，最常見的弱點不是技術，而是員工不敢延遲、不敢反問、不敢要求第二人確認。企業需要把「延遲確認」寫成制度，讓員工知道按流程停一停是被允許的。

可以設定三條簡單規則。第一，任何新收款戶口、跨境付款、非常規退款或緊急轉帳，都要離開原通訊渠道再核實。第二，主管語音或視像指示不能取代系統批核。第三，若要求帶有保密、急迫或繞過正常程序的元素，員工必須升級到指定審批人。

例如一間貿易公司收到「董事」視像要求即日支付供應商訂金，財務同事不應在同一個視像會議內完成付款。正確做法是到企業資源規劃系統(ERP)或審批系統查找採購單、供應商主檔和付款條款，再由第二位授權人透過已登記公司電話或內部系統確認。這條流程應定期演練，而不是出事後才補文件。

事故回應要由「刪訊息」變成「保留證據」

當客戶或員工懷疑遇到深偽詐騙，第一反應可能是刪除訊息、封鎖對方或在群組提醒大家小心。這些動作未必錯，但如果沒有保留證據，公司之後很難判斷是否涉及資料外洩、付款風險或品牌冒認。

一個可行流程是：客服先記錄可疑電話、語音、視像、連結、截圖、收款資料、時間和涉及客戶；營運主管判斷是否涉及付款、個人資料或帳戶權限；資訊科技或網站負責人檢查是否有異常登入、假網域或系統通知被濫用；管理層決定是否需要客戶公告、報警或向香港電腦保安事故協調中心(HKCERT)查詢支援。

如果公司已有客戶關係管理系統(CRM)或服務台系統，應建立「疑似詐騙」分類，讓每宗個案都有狀態、負責人和處理結果。這有助管理層看到模式，例如是否集中在某個活動、某條付款流程、某個客服渠道或某類客戶。