试想象这个画面。香港办公室一位财务同事,收到英国总部财务总监的信息,要求紧急、保密地转一笔款。同事觉得像钓鱼骗案,于是有所犹豫。接着,他加入了一个视频会议。财务总监出现在画面中,旁边还有两位熟悉的同事。样子对,声音也对。安心之下,他先后分 15 次转走了合共二亿港元。会议里每一张脸,都是假的。这并非虚构情节,而是工程公司 Arup 在 2024 年真实的遭遇;自此之后,相关技术只变得更便宜、更逼真。
什么是深度伪造诈骗?
深度伪造诈骗是一种利用 AI 生成的视频、声音或图像,去冒充一个真实、可信的人,通常是老板、供应商或银行职员,借此诱骗你转账或交出敏感资料的骗局。由于那个"假人"看起来、听起来都像真人,所以特别危险。
"深度伪造"(Deepfake)一词,结合了"深度学习"与"伪造"。这项技术会分析一个人的真实片段,再合成出他从未说过、做过的全新视频或声音。
深度伪造诈骗是如何运作的?
深度伪造诈骗的运作方式,是先抓取目标人物的公开片段,训练 AI 模型复制他的样貌与声线,再把这个"假人"放进实时通话或录音中,去授权一笔虚假的请求。整条流程,用普通消费级工具就能完成。
典型的攻击会分为几个清晰阶段:
- 收集素材:骗徒从 LinkedIn、YouTube、网上研讨会或业绩发布会片段下载公开视频。一位企业高管的网上足迹,通常已足够提供原材料。
- 合成假人:AI 工具复制出该人物的脸孔、声音与神态。如今的声音复制,只需几秒清晰的音频。
- 下饵:受害者收到一则关于"紧急、机密交易"的信息,刻意设计成绕过正常审批流程。
- 施压:一个有"老板"深度伪造影像的视频会议或语音信息,消除受害者最后的疑虑。
- 取款:资金被转入骗徒控制的账户,往往分散到多家银行,以拖慢追回的速度。
根据《南华早报》报道,Arup 一案中的骗徒正是这样做:利用公开视频合成了财务总监与其他同事。
二亿港元的 Arup 案,给香港企业什么启示?
Arup 一案说明,即使是谨慎的员工,当一个实时视频会议"确认"了某项请求,也可能被骗倒。那位香港同事一开始就怀疑是钓鱼骗案,但一个与"财务总监"及同事的假视频会议,已足以盖过这份直觉,最终分 15 次转账,损失二亿港元。
有三个启示,值得每位老板记住。第一,人的警觉一开始是有用的,那位同事确实对电邮起疑。第二,深度伪造视频通话正是击溃这份警觉的工具。第三,骗案是事后员工向总部查证时才揭发,那时款项已不知去向。事隔近两年,仍未有人被捕。
这个教训令人不安,却很简单:在通话中看到、听到一个人,已不再等于那个人是真的。
2026 年深度伪造诈骗令企业损失多少?
根据防诈公司 Sumsub 的数据,深度伪造与 AI 驱动的诈骗,如今约占全球诈骗活动的 11%;2025 年全球身份诈骗损失超过 500 亿美元,预计 2026 年会更高。Experian 的 2026 年预测,更把代理式 AI 与深度伪造列为年度头号企业威胁之一。
对一家香港中小企而言,这个风险绝不抽象。你不必是跨国集团,也可能成为目标。骗徒反而偏好较小的公司,正因为它们往往缺乏正式的核实程序,从提出请求到电汇之间的审批层级也较少。
关于深度伪造诈骗,人们最常误解什么?
最常见的误解,是以为深度伪造很容易看穿,又或者以为只有大公司才会被盯上。事实上,2026 年的深度伪造在实时通话中已可以非常逼真,而审批流程松散的小公司,往往才是更易得手的对象。
以下这些迷思,值得纠正:
- "我一定看得出是假的。"旧式深度伪造会有破绽,现在的却往往没有,尤其是在略带杂讯的视频通话中。
- "我们太小,不会被盯上。"小公司之所以吸引骗徒,是因为防线较弱,而非因为金额较大。
- "银行会帮我拦截。"如果是你自己授权转账,银行看到的是一个合法指示,而不是诈骗。
- "这是 IT 部门的问题。"深度伪造诈骗针对的是人与流程,而不只是系统。培训与制度,跟软件同样重要。
中小企如何识破并阻止深度伪造诈骗?
中小企要防范深度伪造诈骗,方法是为任何紧急的金钱或资料请求,加上一道独立于原渠道的核实程序,并训练员工明白:"我在通话中见到他"并不等于证据。真正的解方,主要靠流程,而非昂贵的科技。
以下是任何香港中小企本周就能落实的实务防线:
- 用已知号码回拨:遇到任何紧急或不寻常的付款请求,先挂线,再用你档案中原有的号码致电对方,绝不要用信息中提供的号码。
- 设定暗号:为敏感交易约定一句私下的核实暗语,这是被抓取的视频永远无法泄露的。
- 为"紧急"请求踩刹车:骗徒刻意制造时间压力。一条"所有大额转账须等第二位审批人"的规则,就能拆掉他们的主要武器。
- 限制渠道:付款指示只走经核实的内部系统,而非公开的电邮或通讯软件。
- 培训团队:确保每位能动用资金的同事都知道深度伪造存在,并鼓励他们质疑"老板",而不是因此受罚。
关于深度伪造诈骗的常见问题
深度伪造真的能伪造实时视频通话吗?
可以。Arup 骗案就在一个实时视频会议中使用了多个深度伪造参与者,这正是那位员工觉得足够安全、于是照办的原因。
声音复制需要多少音频?
现代的声音复制工具,只需几秒清晰的语音,就能制作出逼真的复制品,而这种素材,在任何播客片段或留言问候语中都找得到。
最有效的单一防线是什么?
就是"另一渠道回拨"。透过一个独立、可信的渠道去核实请求,几乎能击败所有深度伪造尝试,因为那个渠道并不在骗徒的控制之内。
给香港老板的总结
深度伪造诈骗不再是科幻情节。它是一宗已经透过香港办公室发生、金额达二亿港元的真实事件,而背后的工具,每个月都在变得更便宜。好消息是,最强的防线并非昂贵的安保套件,而是一个简单、人人熟练的习惯:透过第二个渠道核实紧急请求,再配上一支敢于开口问"真的是你吗?"的团队。
是科技制造了这个威胁,而合适的科技伙伴,能帮你走在它前面。懂AI的冷,更懂你的难。UD 同行28年,让科技成为有温度的陪伴。
让 UD 守护你的生意
担心你的团队会成为下一个目标?你不必独自摸索。凭借 28 年 IT 与网络安全经验,UD 会手把手教你,由评估生意的风险缺口,到落实合适的核实与防护措施,全程陪你走每一步。