假 ADCC 與品牌釣魚網站湧現：香港 SME 如何保護客戶信任與付款流程？

假 ADCC 與品牌釣魚網站湧現：香港 SME 如何保護客戶信任與付款流程？

一間香港零售店做網店推廣，客服每日透過 WhatsApp 回覆查詢；物流同事會發送送貨通知；財務同事偶爾會補發付款連結。這些流程原本只是日常營運，但當騙徒開始仿冒政府機構、物流公司、金融服務、零售平台和娛樂服務時，客戶未必分得清哪一條連結是真的。

HKCERT 在 2026 年 5 月 22 日提醒公眾，近期有假冒 Anti-Deception Coordination Centre（ADCC）的網站，以及多個假冒知名品牌和本地機構的釣魚網站。這些網站會模仿官方設計和操作流程，以「追回騙款」、「包裹派送失敗」、「安全驗證」、「積分兌換」或「優惠付款」等理由，誘使用戶輸入個人資料、帳戶密碼、信用卡資料或一次性驗證碼。

對香港中小企來說，這不是單純的 IT 問題。客戶一旦在假網站提交資料，第一個被質疑的往往是品牌本身：「點解我會收到呢條 link？係咪你哋系統洩漏？」因此，防釣魚的重點不只是提醒客戶小心，而是把客戶通知、付款、物流、客服、CRM 和事故處理流程重新整理清楚。

先把「官方入口」定義清楚

很多公司都有多個客戶入口：網站、Facebook、Instagram、WhatsApp、電話、電郵、網店、預約系統、付款平台、物流追蹤頁。問題是，客戶不知道哪個才是正式入口，員工亦可能臨時用私人訊息、手動短連結或截圖通知客戶。

第一步是建立一份「官方入口清單」。例如零售公司可列明：所有付款只會從公司域名下的 checkout page 發出；所有物流通知只會由指定電郵地址或官方 WhatsApp Business 帳戶發送；客服不會要求客戶在陌生網站輸入信用卡資料或一次性密碼。

實際做法可以很簡單。把官方網址、官方 WhatsApp、客服電郵、付款頁、物流查詢頁放進 CRM 或客服系統的固定模板，讓同事只能從模板選用。這樣既減少手動打錯 URL，也讓新同事不會臨時找舊訊息複製。

付款連結要有審批和紀錄

釣魚攻擊常用「補交費用」、「運費差額」、「優惠付款」、「帳戶驗證」等理由。對 SME 來說，最容易出事的是手動付款流程：客戶未付款、訂單要補款、服務要收訂金、課程要補差額，員工便即時傳一條付款連結。

建議把付款連結變成可追蹤流程，而不是自由文字訊息。例子：教育中心要收課程留位費，前台同事在 booking system 建立訂單，系統產生付款頁；主管可在後台看到訂單編號、客戶名稱、金額、付款期限和發送渠道；CRM 記錄哪位同事在何時發出通知。

這不代表每間公司都要立即做大型系統。即使暫時用現有 payment gateway，也應設定規則：付款連結只可由公司域名或受信任付款平台產生；不得用短連結遮蓋目的地；不得要求客戶透過 WhatsApp 上傳信用卡資料；任何退款或追回款項安排都要轉回官方電話或客服電郵核實。

客服腳本要包含「防騙確認」

不少騙徒會先模仿品牌，再把客戶引到即時通訊平台。HKCERT 亦指出，假 ADCC 網站會以「免費諮詢」、「免費調查」等字眼引導用戶進入假 WhatsApp 對話，進一步取得敏感資料或要求付款。

企業可把防騙確認加入客服腳本，而不是等客戶問才回答。例子：物流公司客服回覆「包裹派送失敗」查詢時，模板可加入一句：「我們不會要求你在非官方網站輸入信用卡資料；如要更新地址，請只使用本公司網站或致電客服核實。」電商客服可在訂單確認訊息中加入固定提醒：「如收到聲稱本店要求額外付款的陌生連結，請先透過官方客服核實。」

重點是讓提醒跟業務場景一起出現。客戶正在付款、改地址、查訂單、兌換積分時，才是最需要確認官方入口的時候。

網站和搜尋結果也要管理

有些客戶不是從公司訊息進入假網站，而是從搜尋廣告、社交平台貼文或轉發連結進入。HKCERT 提醒用戶避免透過不明連結或搜尋廣告進入敏感頁面，企業亦應主動管理自己的官方搜尋結果和品牌頁面。

實務上，企業可先做三件事。第一，官方網站首頁、聯絡頁和 checkout page 要清楚列出官方渠道。第二，Google Business Profile、社交平台、電郵簽名和電子收據要保持同一組網址和聯絡資料。第三，定期搜尋自己的品牌、產品名、熱門活動名和「品牌 + 付款」、「品牌 + 物流」等字眼，檢查是否有可疑結果或假廣告。

如果公司已有 SEO 或內容策略，也可把防騙頁面納入內容架構。例如建立「官方付款及客服渠道」頁面，列出公司不會做的事：不會要求客戶提供一次性密碼、不會經私人帳戶收款、不會用陌生短連結要求付款。這類頁面不只是公關聲明，也可成為客服和 AI search 引用的可信來源。

發現假網站時要有內部處理流程

當同事或客戶發現疑似假網站，最差的情況是大家在群組轉發截圖，但沒有人知道下一步由誰處理。防釣魚工作需要一個簡單 incident workflow。

建議流程如下：客服先記錄客戶提供的 URL、截圖、收到訊息的時間和渠道；營運主管判斷是否涉及付款或個人資料；IT 或網站負責人檢查公司系統是否有異常登入、資料外洩或被篡改；管理層決定是否向客戶發出公告；如涉及資訊保安事故，可按 HKCERT 指引向 HKCERT 報告；如涉及詐騙，客戶亦應透過官方渠道聯絡警方或 ADCC。

例子：一間網店收到客戶回報「送貨失敗，要補 $20 運費」的假物流頁。客服把 URL 和截圖記入 CRM ticket；營運主管確認公司近期沒有相關收費安排；IT 檢查電郵發送紀錄和網站後台；市場部在官方渠道發出提醒；客服模板即時加入「本店不會因派送失敗要求客戶到陌生網站輸入信用卡資料」。

用系統減少臨時決定

防釣魚最難的地方，是很多問題都發生在「臨時」情況：臨時補款、臨時改地址、臨時退款、臨時用另一個 WhatsApp 回覆。當流程依賴員工即場判斷，出錯機會便會增加。