假冒反詐騙協調中心與品牌釣魚網站湧現：香港中小企如何保護客戶信任與付款流程？

假冒反詐騙協調中心與品牌釣魚網站湧現：香港中小企如何保護客戶信任與付款流程？

一間香港零售公司正在做網店推廣，客服每日透過即時通訊工具回覆查詢；物流同事會發送送貨通知；財務同事偶爾要向客戶補發付款連結。這些原本只是日常營運，但當騙徒開始仿冒政府機構、物流公司、金融服務、零售平台和娛樂服務時，客戶未必分得清哪個入口才是真正官方渠道。

香港電腦保安事故協調中心(HKCERT)在 2026 年 5 月 22 日提醒公眾，近期有假冒反詐騙協調中心(ADCC)的網站，以及多個假冒知名品牌和本地機構的釣魚網站。這些網站會模仿官方設計和操作流程，以「追回騙款」、「包裹派送失敗」、「安全驗證」、「積分兌換」或「優惠付款」等理由，誘使用戶輸入個人資料、帳戶密碼、信用卡資料或一次性驗證碼。

對香港中小企來說，這不是單純的技術問題。客戶一旦在假網站提交資料，第一個被質疑的往往是品牌本身：「為甚麼我會收到這條連結？是否你們的系統外洩？」因此，防釣魚的重點不只是提醒客戶小心，而是要把客戶通知、付款、物流、客服、客戶關係管理系統(CRM)和事故處理流程重新整理清楚。

先把「官方入口」定義清楚

很多公司都有多個客戶入口：網站、社交平台、即時通訊帳戶、電話、電郵、網店、預約系統、付款平台和物流追蹤頁。問題是，客戶不知道哪個才是正式入口，員工亦可能在忙碌時用私人訊息、手動短連結或截圖通知客戶。

第一步是建立一份「官方入口清單」。例如零售公司可列明：所有付款只會從公司域名下的結帳頁面發出；所有物流通知只會由指定電郵地址或官方商業通訊帳戶發送；客服不會要求客戶在陌生網站輸入信用卡資料或一次性密碼。

實際做法可以很簡單。把官方網址、官方通訊帳戶、客服電郵、付款頁和物流查詢頁放進客戶關係管理系統(CRM)或客服系統的固定模板，讓同事只能從模板選用。這樣既可減少手動輸入錯誤，也能避免新同事臨時複製舊訊息而發出不合規連結。

付款連結要有審批和紀錄

釣魚攻擊常用「補交費用」、「運費差額」、「優惠付款」、「帳戶驗證」等理由。對中小企來說，最容易出事的是手動付款流程：客戶未付款、訂單要補收款項、服務要收訂金、課程要收取差額，員工便即時傳一條付款連結。

建議把付款連結變成可追蹤流程，而不是自由文字訊息。例子：教育中心要收課程留位費，前台同事在預約系統(Booking System)建立訂單，系統產生付款頁；主管可在後台看到訂單編號、客戶名稱、金額、付款期限和發送渠道；客戶關係管理系統(CRM)記錄哪位同事在何時發出通知。

這不代表每間公司都要立即做大型系統。即使暫時使用現有支付網關(Payment Gateway)，也應設定基本規則：付款連結只可由公司域名或受信任付款平台產生；不得用短連結遮蓋目的地；不得要求客戶透過即時通訊工具上傳信用卡資料；任何退款或追回款項安排都要轉回官方電話或客服電郵核實。

客服腳本要包含「防騙確認」

不少騙徒會先模仿品牌，再把客戶引到即時通訊平台。香港電腦保安事故協調中心(HKCERT)亦指出，假冒反詐騙協調中心(ADCC)的網站會以「免費諮詢」、「免費調查」等字眼引導用戶進入假冒對話，進一步取得敏感資料或要求付款。

企業可把防騙確認加入客服腳本，而不是等客戶問才回答。例子：物流公司客服回覆「包裹派送失敗」查詢時，模板可加入一句：「我們不會要求你在非官方網站輸入信用卡資料；如要更新地址，請只使用本公司網站或致電客服核實。」網店客服可在訂單確認訊息中加入固定提醒：「如收到聲稱本店要求額外付款的陌生連結，請先透過官方客服核實。」

重點是讓提醒跟業務場景一起出現。客戶正在付款、改地址、查訂單或兌換積分時，才是最需要確認官方入口的時候。

網站和搜尋結果也要管理

有些客戶不是從公司訊息進入假網站，而是從搜尋廣告、社交平台貼文或轉發連結進入。香港電腦保安事故協調中心(HKCERT)提醒用戶避免透過不明連結或搜尋廣告進入敏感頁面，企業亦應主動管理自己的官方搜尋結果和品牌頁面。

實務上，企業可先做三件事。第一，官方網站首頁、聯絡頁和結帳頁面要清楚列出官方渠道。第二，商戶資料頁、社交平台、電郵簽名和電子收據要保持同一組網址和聯絡資料。第三，定期搜尋自己的品牌、產品名、熱門活動名，以及「品牌 + 付款」、「品牌 + 物流」等字眼，檢查是否有可疑結果或假廣告。

如果公司已有搜尋引擎優化(SEO)或內容策略，也可把防騙頁面納入內容架構。例如建立「官方付款及客服渠道」頁面，列出公司不會做的事：不會要求客戶提供一次性密碼、不會經私人帳戶收款、不會用陌生短連結要求付款。這類頁面不只是公關聲明，也可成為客服和人工智能搜尋引用的可信來源。

發現假網站時要有內部處理流程

當同事或客戶發現疑似假網站，最差的情況是大家在群組轉發截圖，但沒有人知道下一步由誰處理。防釣魚工作需要一個簡單的事故處理流程。

建議流程如下：客服先記錄客戶提供的網址、截圖、收到訊息的時間和渠道；營運主管判斷是否涉及付款或個人資料；技術或網站負責人檢查公司系統是否有異常登入、資料外洩或被篡改；管理層決定是否向客戶發出公告；如涉及資訊保安事故，可按香港電腦保安事故協調中心(HKCERT)指引報告；如涉及詐騙，客戶亦應透過官方渠道聯絡警方或反詐騙協調中心(ADCC)。

例子：一間網店收到客戶回報「送貨失敗，要補交運費」的假物流頁。客服把網址和截圖記入客戶關係管理系統(CRM)個案；營運主管確認公司近期沒有相關收費安排；技術同事檢查電郵發送紀錄和網站後台；市場部在官方渠道發出提醒；客服模板即時加入「本店不會因派送失敗要求客戶到陌生網站輸入信用卡資料」。

用系統減少臨時決定

防釣魚最難的地方，是很多問題都發生在「臨時」情況：臨時收取差額、臨時更改地址、臨時退款、臨時改用另一個通訊帳戶回覆。當流程依賴員工即場判斷，出錯機會便會增加。