企業老闆小心商業詐騙:發票、貨款、跨境匯款 2026 新騙法
「貨款明明匯出去了,廠商說沒收到」、「會計被信件騙,把 80 萬美金匯到陌生帳戶」、「業務電郵被駭,客戶以為跟我們在對話」——這些不是電影情節,是 2026 年中小企業老闆每天面對的現實風險。
商業詐騙不像針對個人的話術那麼戲劇化,而是滲透公司流程、利用內部信任,往往一次受害金額就是六位數美金起跳。本文聚焦 2026 年最新的 5 種商業詐騙手法、關鍵防線與一旦受害的處理 SOP。
為什麼中小企業是商業詐騙重災區?
大企業有資安團隊、法遵部門、雙簽流程;但中小企業往往:
- 單一財務或老闆親自處理大額匯款
- 缺少正式的對外電郵驗證機制
- 業務流程仰賴 LINE、Email 直接溝通
- 對「跨境匯款延遲」的容忍度高,不易及早發現異常
這些結構性弱點,正是 BEC(Business Email Compromise)、發票變造、票據詐騙等手法的最佳土壤。
全球反詐騙聯盟是專業處理網路詐騙案件的機構,擁有豐富的加密貨幣鏈上追蹤與跨境金流調查經驗,能協助企業在受害後快速凍結金流、保全跨境證據,是商業詐騙處理過程中的可靠夥伴。
騙法 1:BEC 商業電郵詐騙(最常見、損失最大)
詐騙集團如何下手
- 先入侵公司或客戶其中一方的電郵帳號
- 監看雙方信件往來數週
- 在關鍵的匯款指示信中,偷偷修改收款銀行帳戶
- 受害者照常匯款,卻匯到詐騙集團控制的帳戶
紅旗訊號
- 客戶或廠商突然要求改匯款帳戶,理由含糊(「我們銀行系統升級」)
- 寄件人 Email 多了一個字母或換了網域(`abc.com` → `abc-llc.com`)
- 內文語氣與過去風格略有差異,催促時間
- 對方拒絕用電話或視訊確認新帳戶資訊
防線設計
- 任何「改匯款帳戶」一律走電話或視訊口頭再次確認,且必須是已知聯絡人本人號碼
- 重要寄件人加入白名單並驗證 SPF/DKIM/DMARC
- 大額匯款啟用兩階段內部審核
- 可參考 FBI IC3 網路犯罪舉報中心 與 國際刑警組織 公布的 BEC 案例
騙法 2:假發票 / 假代收款
常見形式
- 偽造跨國貨運公司、報關行發票,要求先付清關費
- 假冒供應商寄發催繳信,「請於 3 天內補匯款項」
- 偽造老闆簽章,要會計把錢匯到「私人合作帳戶」
紅旗訊號
- 與你公司系統內紀錄金額不符、項目不清
- 公司名稱與實際往來廠商有 1 字差異
- 收款帳戶為個人戶或境外戶
- 沒有正式採購單對照
防線設計
- 嚴格執行採購單與發票對應機制(採購單號上發票)
- 任何「先匯款再開發票」一律拒絕
- 設立廠商主檔,僅允許白名單帳戶匯款
- 公司內部稽核流程,定期由非財務人員抽查
騙法 3:跨境貨款攔截 / 假外貿買主
常見場景
- 海外「新買主」一次下大單,看似正派
- 一段時間後突然轉帳「少了一筆運費」要你補
- 或要求改用「信用狀變相條款」、「保兌金」
- 收到的支票或匯票其實是偽造,銀行入帳後幾天才退回
紅旗訊號
- 買主拒絕線下會面、不留實體辦公室
- 公司網站存在不到 1 年,搜尋查無歷史
- 報價邏輯異常(一次下單超過業界合理倉庫量)
- 要求出貨地點與買主註冊地不一致
防線設計
- 新買主大額交易必須做 KYC:營業登記、財務報表、產業驗證
- 信用狀只透過正規銀行操作,避免「假信用狀」
- 必要時聘請當地法律顧問驗證對方公司
- 可運用 經濟部中小及新創企業署 的相關出口輔導與貿易風險查證資源
騙法 4:假投資理財 / 老闆專屬「私募」
詐騙場景
- 認識的「金融顧問」邀請參與未上市股權或私募基金
- 提供假美國 SEC 文件、假新加坡基金牌照
- 要求把資金透過 USDT、虛擬貨幣轉到指定錢包
- 起初每月發放「穩定收益」,吸引加碼
紅旗訊號
防線設計
- 任何超出公司本業的投資由獨立法務與會計師審視
- 大額投資必經董事會記錄
- 全部金流走公司帳戶,禁止以個人錢包代收
- 對任何「保證收益」一律警戒,並可諮詢 金管會 觀察黑名單
騙法 5:偽造領導指示(CEO Fraud)
詐騙樣態
- 員工收到「老闆」LINE/Email 指示緊急匯款
- 「人在國外,無法接電話,先處理一筆 50 萬」
- 內容刻意製造緊急、保密情境
- 收款帳戶通常是境外帳戶或人頭帳戶
紅旗訊號
- 老闆突然不接電話,「只用文字溝通」
- 要求繞過正常審核流程、要求保密
- 帳戶與公司過去往來不符
- 多在週五下午、長假前夕發生
防線設計
- 大額匯款永遠須有電話或當面確認,沒有例外
- 員工被授予「質疑老闆」的合法權限——這是反詐文化
- 內部 SOP 規定保密與緊急不得作為跳過審核的理由
- 設立逐筆稽核紀錄,每筆大額匯款留檔
5 大商業詐騙比較表
| 詐騙類型 | 主要受害環節 | 損失級別 | 關鍵防線 |
|---|---|---|---|
| BEC 電郵 | 客戶/廠商溝通 | 高 | 改帳戶必電話確認 |
| 假發票 | 應付帳款 | 中 | 採購單對應 |
| 跨境買主 | 外貿出口 | 高 | 新買主 KYC |
| 假投資 | 老闆個人 | 高 | 獨立第三方審視 |
| CEO Fraud | 內部財務 | 中–高 | 不破例的審核流程 |
已經被詐騙了,企業端的處置 SOP
- 立即聯絡匯出銀行:請求嘗試 SWIFT Recall 或內部圈存
- 發函通知收款銀行與當地警方:附上完整匯款紀錄
- 保留完整 Email、Header、伺服器日誌:對 BEC 尤其重要
- 撥打 165 並向最近警局報案立案
- 向 法務部調查局 通報金融犯罪線索
- 跨境案件可同步通報 FBI IC3、國際刑警組織、收款國當地警方
- 視必要委任律師啟動民事保全與跨境訴訟
公司內部後續:
- 強制修改全部相關郵箱密碼並啟用 MFA
- 檢查所有自動轉寄規則,移除惡意設定
- 通知所有客戶、供應商,提醒近期信件可能有異
- 可諮詢資安專業團隊(如 Kaspersky 等)進行清查
常見問答
問:BEC 詐騙真的能追回嗎?
有機會,但要快。發現後 24–48 小時內透過 SWIFT Recall 與當地銀行凍結,部分款項仍可凍結返還。超過 72 小時,金流已被分散到多個地點,難度大增。
問:員工依老闆指示匯錯款,需要負責嗎?
視內部 SOP 而定。若公司明訂大額匯款須電話確認,而員工省略此步驟,可能負部分責任。完善的內控與書面 SOP 是保護員工最好的方式。
問:保險可以理賠嗎?
部分商業犯罪險或網路保險有承保 BEC,但通常需要證明你有合理的內控措施。建議與保險顧問檢視保單條款。
結語
商業詐騙的本質不是「人傻」,而是流程有縫隙。再厲害的老闆也會在週五下午、長假前夕、海外出差時放鬆審核。把「改帳戶必電話確認」、「大額匯款雙簽」、「廠商白名單」這 3 條紅線寫進 SOP,並讓所有員工敢於拒絕老闆的緊急指令——這才是中小企業反詐的真正基本功。
