什么是深度伪造诈骗？香港老板的防骗指南

试想象这个画面。香港办公室一位财务同事，收到英国总部财务总监的信息，要求紧急、保密地转一笔款。同事觉得像钓鱼骗案，于是有所犹豫。接着，他加入了一个视频会议。财务总监出现在画面中，旁边还有两位熟悉的同事。样子对，声音也对。安心之下，他先后分 15 次转走了合共二亿港元。会议里每一张脸，都是假的。这并非虚构情节，而是工程公司 Arup 在 2024 年真实的遭遇；自此之后，相关技术只变得更便宜、更逼真。

 

什么是深度伪造诈骗？

深度伪造诈骗是一种利用 AI 生成的视频、声音或图像，去冒充一个真实、可信的人，通常是老板、供应商或银行职员，借此诱骗你转账或交出敏感资料的骗局。由于那个"假人"看起来、听起来都像真人，所以特别危险。

"深度伪造"（Deepfake）一词，结合了"深度学习"与"伪造"。这项技术会分析一个人的真实片段，再合成出他从未说过、做过的全新视频或声音。

 

深度伪造诈骗是如何运作的？

深度伪造诈骗的运作方式，是先抓取目标人物的公开片段，训练 AI 模型复制他的样貌与声线，再把这个"假人"放进实时通话或录音中，去授权一笔虚假的请求。整条流程，用普通消费级工具就能完成。

典型的攻击会分为几个清晰阶段：

• 收集素材：骗徒从 LinkedIn、YouTube、网上研讨会或业绩发布会片段下载公开视频。一位企业高管的网上足迹，通常已足够提供原材料。
• 合成假人：AI 工具复制出该人物的脸孔、声音与神态。如今的声音复制，只需几秒清晰的音频。
• 下饵：受害者收到一则关于"紧急、机密交易"的信息，刻意设计成绕过正常审批流程。
• 施压：一个有"老板"深度伪造影像的视频会议或语音信息，消除受害者最后的疑虑。
• 取款：资金被转入骗徒控制的账户，往往分散到多家银行，以拖慢追回的速度。

根据《南华早报》报道，Arup 一案中的骗徒正是这样做：利用公开视频合成了财务总监与其他同事。

 

二亿港元的 Arup 案，给香港企业什么启示？

Arup 一案说明，即使是谨慎的员工，当一个实时视频会议"确认"了某项请求，也可能被骗倒。那位香港同事一开始就怀疑是钓鱼骗案，但一个与"财务总监"及同事的假视频会议，已足以盖过这份直觉，最终分 15 次转账，损失二亿港元。

有三个启示，值得每位老板记住。第一，人的警觉一开始是有用的，那位同事确实对电邮起疑。第二，深度伪造视频通话正是击溃这份警觉的工具。第三，骗案是事后员工向总部查证时才揭发，那时款项已不知去向。事隔近两年，仍未有人被捕。

这个教训令人不安，却很简单：在通话中看到、听到一个人，已不再等于那个人是真的。

 

2026 年深度伪造诈骗令企业损失多少？

根据防诈公司 Sumsub 的数据，深度伪造与 AI 驱动的诈骗，如今约占全球诈骗活动的 11%；2025 年全球身份诈骗损失超过 500 亿美元，预计 2026 年会更高。Experian 的 2026 年预测，更把代理式 AI 与深度伪造列为年度头号企业威胁之一。

对一家香港中小企而言，这个风险绝不抽象。你不必是跨国集团，也可能成为目标。骗徒反而偏好较小的公司，正因为它们往往缺乏正式的核实程序，从提出请求到电汇之间的审批层级也较少。

 

关于深度伪造诈骗，人们最常误解什么？

最常见的误解，是以为深度伪造很容易看穿，又或者以为只有大公司才会被盯上。事实上，2026 年的深度伪造在实时通话中已可以非常逼真，而审批流程松散的小公司，往往才是更易得手的对象。

以下这些迷思，值得纠正：

• "我一定看得出是假的。"旧式深度伪造会有破绽，现在的却往往没有，尤其是在略带杂讯的视频通话中。
• "我们太小，不会被盯上。"小公司之所以吸引骗徒，是因为防线较弱，而非因为金额较大。
• "银行会帮我拦截。"如果是你自己授权转账，银行看到的是一个合法指示，而不是诈骗。
• "这是 IT 部门的问题。"深度伪造诈骗针对的是人与流程，而不只是系统。培训与制度，跟软件同样重要。

 

中小企如何识破并阻止深度伪造诈骗？

中小企要防范深度伪造诈骗，方法是为任何紧急的金钱或资料请求，加上一道独立于原渠道的核实程序，并训练员工明白："我在通话中见到他"并不等于证据。真正的解方，主要靠流程，而非昂贵的科技。

以下是任何香港中小企本周就能落实的实务防线：

• 用已知号码回拨：遇到任何紧急或不寻常的付款请求，先挂线，再用你档案中原有的号码致电对方，绝不要用信息中提供的号码。
• 设定暗号：为敏感交易约定一句私下的核实暗语，这是被抓取的视频永远无法泄露的。
• 为"紧急"请求踩刹车：骗徒刻意制造时间压力。一条"所有大额转账须等第二位审批人"的规则，就能拆掉他们的主要武器。
• 限制渠道：付款指示只走经核实的内部系统，而非公开的电邮或通讯软件。
• 培训团队：确保每位能动用资金的同事都知道深度伪造存在，并鼓励他们质疑"老板"，而不是因此受罚。

 

关于深度伪造诈骗的常见问题

深度伪造真的能伪造实时视频通话吗？

可以。Arup 骗案就在一个实时视频会议中使用了多个深度伪造参与者，这正是那位员工觉得足够安全、于是照办的原因。

声音复制需要多少音频？

现代的声音复制工具，只需几秒清晰的语音，就能制作出逼真的复制品，而这种素材，在任何播客片段或留言问候语中都找得到。

最有效的单一防线是什么？

就是"另一渠道回拨"。透过一个独立、可信的渠道去核实请求，几乎能击败所有深度伪造尝试，因为那个渠道并不在骗徒的控制之内。

 

给香港老板的总结

深度伪造诈骗不再是科幻情节。它是一宗已经透过香港办公室发生、金额达二亿港元的真实事件，而背后的工具，每个月都在变得更便宜。好消息是，最强的防线并非昂贵的安保套件，而是一个简单、人人熟练的习惯：透过第二个渠道核实紧急请求，再配上一支敢于开口问"真的是你吗？"的团队。

是科技制造了这个威胁，而合适的科技伙伴，能帮你走在它前面。懂AI的冷，更懂你的难。UD 同行28年，让科技成为有温度的陪伴。

 

让 UD 守护你的生意

担心你的团队会成为下一个目标？你不必独自摸索。凭借 28 年 IT 与网络安全经验，UD 会手把手教你，由评估生意的风险缺口，到落实合适的核实与防护措施，全程陪你走每一步。