“旧世界分崩离析，新时代正在光速到来。”

——梁文锋

前言

根据德勤的一项统计，高达25.9%受访企业高管提及他们在过去的2024年里经历过一次或者多次深度伪造（Deepfake）事件。[1]德勤的研究部门预测，到2027年生成式AI在美国导致的欺诈损失将达到400亿美金，这与2023年相比123亿美金相比，足足增长了约2.25倍。

AI技术正在重塑现实与信任边界，从香港奥雅纳公司遭遇AI换脸高管骗走2亿港元，到诈骗集团利用伪造“美颜”人设跨境收割虚拟货币投资者；从“AI马斯克”以假乱真掏空美国老人毕生积蓄，到恶意软件“GoldPickaxe”突破生物识别防线窃取财富，再到南非冒用商界领袖形象的深度伪造投资骗局——这些案例警示着AI时代的人类：人工智能已不仅仅是工具，同时也逐渐演变为欺诈犯罪的颠覆性变量，其以假乱真的“公信力嫁接”与跨境匿名特性，有将全球金融安全推向重构边缘的风险。尽管如此，在法律与风控视角下，我们仍可将其视为一种技术滥用行为，并通过系统性手段进行遏制与追索。

本文立足于这场由代码与人性交织的新型战争，剖析Deepfake诈骗的运作模式，并探讨如何构建“技术防御-法律规制-国际协同”的三维防线。同时，本文还聚焦跨境追索这一关键战场，旨在为潜在受害者提供一套融合数字取证、国际司法协作与资产追踪的果断反击路径，帮助其在虚拟“迷雾”中获得正义。

一、Deepfake诈骗的全球蔓延：典型案例解析

“生存下来的不是最强壮的物种，也不是最聪明的，而是最能适应变化的。”

——达尔文

境外追索的一大实战场景，来自于近年来深度伪造（Deepfake）技术通过高度逼真的音视频合成能力，模仿人脸人声以进行金融诈骗犯罪。此类技术不仅突破了传统身份验证的防线，还因其跨国性、隐蔽性等特点，使得追查和追索面临前所未有的挑战。

（一）假面幻影：AI换脸的惊天骗局[2]

2024年1月中旬，奥雅纳香港分公司收到来自英国总部的首席财务官的紧急通知，要求进行一项高度机密的交易。为确保交易的顺利进行，香港团队迅速召集了多名财务部职员，通过视频会议的方式共同商讨。

实际上，犯罪嫌疑人通过公司的YouTube视频和从其他公开渠道获取的媒体资料，利用Deepfake技术成功地仿造了英国公司CFO的实时视频和声音，还伪造了多名高层管理人员以及同事的形象和声音，假冒跨国企业奥雅纳（Arup）英国总部的CFO及高管团队，参与了一场由Deepfake技术伪造的多人视频会议。会议中，诈骗团伙利用公开资料合成高管的面部表情和声音，要求员工向指定账户转账。员工在未核实身份的情况下分15次总计转出2亿港元，一周后该员工与总部联系时，才发现被卷入骗局。这一情形并非传统意义上的网络攻击，因为系统并没有遭受黑客等入侵，犯罪嫌疑人利用Deepfake技术来制造紧迫感，规避企业内部沟通的安全屏障。该跨国公司的首席信息官表示，跨国企业经常遭受包括Deepfake在内的网络欺诈，近年来网络欺诈的数量以及复杂程度都急剧上升。

该案暴露了跨国企业的两大合规风险痛点，一是企业对远程身份核验以及可疑交易的疏忽，二是跨国企业内部沟通机制存在断层。诈骗者利用时差和信息差，在短时间内完成资金转移，而受害者往往缺乏对于该等新型诈骗的认知，并因“紧急指令”的压迫感而放松警惕，最终遭受严重经济损失。

（二）“美颜”陷阱：中国香港“虚拟货币投资”诈骗案[3]

2025年1月6日，中国香港警方捣破以Deepfake技术在社交平台诱骗他人投资虚拟货币的诈骗集团，涉案金额约3400万港元。

该案中，诈骗集团招揽想“赚快钱”的年轻人加入，训练他们以虚假人设在交友平台开设帐户，假装外貌出众、生活奢华，以此结识我国台湾地区及东亚境外地区的人士，按剧本聊天。在了解对方背景后，再利用Deepfake技术进行视频通话获取信任，进而声称虚拟货币有可观回报，诱导受害者在虚假的虚拟货币平台投资。诈骗集团在收到资金后则会立刻转走，并与受害人断绝来往。

（三）“AI马斯克”投资骗局[4]

美国某官方数据显示，2023年，美国60岁以上老人因各类欺诈骗局造成的损失达到283亿美元（2053亿人民币），其中一部分骗局由AI协助完成。[5]在这些AI协助完成的案件中，有不少是利用名人的公信力，定向投放深度伪造视频至易受骗群体进行诈骗，如“AI马斯克”投资骗局案。

2024年8月，埃隆·马斯克因Deepfake卷入了一场诈骗事件。当时82岁的退休老人史蒂夫·比彻姆正在观看一段视频广告，在广告中，“马斯克”正在推销一项承诺具有可靠快速回报的投资项目。由于广告中，“马斯克”面目形象与南非口音极其真实，该老人对广告信息深信不疑，于是便联系了“马斯克”所背书的这家名为Magna-FX的外汇公司，开设了一个248美元的账户。在此之后，该老人被频繁诱导着进行一系列的转账交易，直至最终耗尽了自己退休金账户的69万美元。

据悉，该诈骗者是基于马斯克的一段真实采访视频，利用Deepfake技术对其嘴部动作进行了唇部同步技术编辑，并附加AI加工后的声音，使其与他们为数字人编写的虚假剧本完美匹配。此案揭示了Deepfake技术的“公信力嫁接”特性——利用名人效应降低受害者戒备心，并通过小额试水逐步扩大诈骗金额。

（四）“人脸劫持”：人脸识别系统的突破[6]

2023年10月，国外网络安全公司Group-IB发现了一个能够窃取、收集人脸识别数据的银行木马程序“GoldPickaxe”。该恶意软件的iOS版本，诱骗用户进行人脸识别、提交身份证件，从而窃取个人生物信息如面部识别数据、银行账号、电话等身份信息。随后这些敏感信息会被转换成人工智能生成的深度伪造图像，其能够成功突破人脸识别系统，实施诸如登录用户的银行账号进行转账等下游犯罪操作。

“GoldPickaxe”也有安卓版本，功能更多。除收集盗取受害人的人脸信息、身份证、银行卡等信息外，安卓版还能在手机的相册中检索人脸图片，并向银行App索求人脸识别授权等服务。

更具隐蔽性的是，此类犯罪行为常见的攻击策略是组合使用短信轰炸和网络钓鱼技巧，并经常伪装成政府服务代理（如数字养老金和政府信息门户网站），受害者往往难以识别该类软件，从而蒙受损失。

（五）南非投资骗局[7]

南非金融部门行为管理局（FSCA）警告公众，不要接受Gold Earnings Hub和Africa Gold Capital提供的财务建议、帮助或投资机会。这两家公司被发现使用Deepfake技术获取投资。根据FSCA披露的信息，这两家公司未经授权提供金融服务，并利用Deepfake图片和视频冒充知名人物，如非洲彩虹矿业（ARM）执行主席帕特里斯·莫特赛佩（Patrice Motsepe），并利用伪造形象宣传两家公司的投资项目。

二、深度伪造与跨境资产追索：四大核心迷思与误区

（一）迷思误区之一：以为资金“人间蒸发”——认知误区的局限

实施境外追索最大的挑战和障碍，是当事人的认知和判断误区。针对资金或者加密货币被骗被盗，当事人一个最大的误区是，认为资金早已转走不知所踪，想追回就是“大海捞针”，并且需要“国际刑警”加本地警方的联合行动，更是难上加难。因此放弃采取行动，从而错过了黄金窗口。

其实，资金从未“蒸发”，只是你没有发现而已。由于资金是通过转账的方式被转移的，大概率会留下资金转移的轨迹。以Deepfake方式进行欺诈，本质上与其他网络黑客欺诈并无区别，只是AI技术手段更加高超，更难被识破。传统的典型的BEC（business email compromise即商业电邮侵入方式）的网络黑客欺诈模式，是通过侵入受害人公司或者个人的电脑系统，冒充相关的“收款方”当事人发送电邮、指令，要求将汇款账户进行调整，最后导致资金汇出后“石沉大海”，而实际“收款方”根本没有收到款项，与“付款方”核对之后才发现自己被骗。

换句话说，这种欺诈模式早已有之，想要成功实现跨境追索，就得克服认知障碍。许多企业在遭遇这类诈骗时，由于实施欺诈者“隐匿遁形”，受害者在报警之后，被告知欺诈行为发生地和诈骗者都在境外，难以受中国法律的管辖和保护，就想当然地认为在境外追回款项几乎是“不可能完成的任务”。

实际上，无论是资金还是比特币，如果找对专业机构，包括境内的法律顾问和境外的专业机构，采用正确的追索方法，追索甚至找回被转移到境外的资产是有可能实现的，甚至还可能获得额外的补偿和赔偿，例如利息损失、包括律师费在内的追索成本等。

（二）迷思误区之二：六神无主，错过黄金24小时

与线下的盗窃抢劫活动不同，网络电信诈骗、AI深度伪造的诈骗作案人经常隐匿无踪，受害人对技术不了解、高估其难度，因此在事件发生之后六神无主，病急乱投医，也错过了最佳的追击时机。

诈骗资金往往通过加密货币或离岸账户多层洗白。例如，“假面人会议”案中，2亿港元在1周内被转移至多个境外空壳公司账户。传统司法互助请求（MLA）流程冗长，难以满足快速冻结资产的需求。在资产追索领域，有一个“黄金24小时”的说法，意思是在欺诈行为被发现后，企业需在24小时内采取紧急措施，以遏制损失的扩大。

这一时期的关键性在于，欺诈资金通常在短时间内被快速转移，最终流向难以追踪的海外账户或加密货币地址。通过迅速冻结涉及的账户、联系支付网关并采集证据，企业可以有效阻断欺诈资金的转移路径，最大程度降低损失。企业如何把握这个“黄金24小时”，不仅是损失控制的关键，也是提升企业应急能力的重要环节。通过快速响应，企业可以显著降低直接损失的金额，同时积累应对类似事件的经验和能力。

（三）迷思误区之三：高估诈骗行为处置的复杂性，认为法律手段难以解决

Deepfake诈骗常涉及多国主体，例如诈骗者在A国伪造身份、服务器位于B国、资金流向C国。各国法律对“虚拟身份犯罪”的定性不一，且此类行为往往会落入刑民交叉的领域，刑事追责与民事索赔程序存在重叠。受害者往往非常容易陷入迷茫，不知道先选择民事诉讼还是诉诸刑事追索手段，也不知该先开展境内追索还是境外追索。一旦选错或盲选追索方案，极易导致各国司法机关的管辖权争议，造成不必要的时间窗口的错失以及最终的资金损失。

所以，如果能提前进行布局、制定预案并演练，在事发之后迅速采取行动，可以为后续的法律诉讼和追讨损失提供坚实的基础。

而实践中，“反常识”的地方在于，在海外，在不同法域非常“管用”的司法救济工具在中国并不适用，导致大多数国内的司法人员以及律师也会误认为，应对跨境的电诈并追回损失会非常困难。实际上，相较于可能花费五六个月才可能决定是否立案并投入精力的海外警察，境内外专业律师的快速联动往往能够产生更好的追索效果。

然而不少境外的律所（包括一些非常知名的国际大所），并不了解资产追索这一“小众”而又“高精尖”的业务领域。这就非常仰赖在这方面有专业能力的法律顾问，能在最短的时间内快速反应，找到最合适的境外法律服务机构和调查机构，主导整个境外追索的流程，启动被骗资金的境外追踪。

（四）迷思误区之四：面对举证责任“望而生畏”

客观而言，遭遇Deepfake以及其他类似的网络欺诈，证据固定与鉴定的复杂性确实存在。Deepfake视频的鉴定需依赖专业技术团队，而跨境案件中，证据的合法性常因各国电子证据标准不同而受质疑。例如，“AI马斯克”案的侦破需协调美国、南非等多国技术机构协作鉴定视频真伪。因此，在跨境追索领域，如何保存所有相关数字证据，包括视频、音频、聊天记录和系统日志等，以确保其原始格式和完整性？如何保留涉案物理设备，避免操作以防止数据破坏？如何进行证据的公证认证？如何详细记录所有操作步骤，形成完整的证据链？这些问题，都需要境内外的跨境法律专家、资产追索专家的协助。

然而，对此望洋兴叹无济于事。事实上，普通法系的国家和地区，包括常见的离岸小岛BVI、开曼、百慕大，在证据制度上为被欺诈的受害人提供了诸多便利，例如向法院申请出具调查令、冻结令以及证据开示制度（要求对方提供证据）等。这些工具让海外的资产追索在很大程度上，并不那么依赖警方支持与大量证据的搜集，这与国内的司法和证据制度相比，可以说是“反常识”的。

三、鹰扬虎视：从深度伪造骗局中解锁防范密钥

“像专家一样掌握规则，才能像艺术家一样打破规则。”

——毕加索

在AI时代浪潮席卷之下，深度伪造技术犹如一把双刃剑，在带来创新与便利的同时，也衍生出日益严峻的风险隐患，深度伪造风险已然成为企业和金融机构在网络空间中必须直面的重大挑战。

针对AI时代所带来的深度伪造风险，从风控和法律角度，究竟该如何应对？笔者结合已有欺诈案例的特点，拆解企业内控的最佳实践，以及欺诈事件发生后的跨境追索法律实践，对于企业和金融机构防范和应对网络欺诈，无疑具有极为重要的参考价值和实际指导意义。

（一）乘虚而入——Deepfake攻击人性三大弱点

笔者通过分析已有的欺诈案例，梳理深度伪造欺诈的典型特征与作案手法，发现攻击者往往抓住企业员工的三个永恒弱点：层级压力、保密指示和制造紧迫感。

1. 层级压力（Hierarchy）

越是等级分明的企业，越容易中招。比如下级绝对服从上级的公司（许多东亚文化圈企业）中常见的情景：“我是老板，我现在要你转一笔紧急款项。”“不要问别人。”“你要对我负责。”一旦加上“视频会议+声音克隆”，再谨慎的人也会松懈。

2. 绝对保密（Confidentiality）

诈骗常出现这样的指令：“这是一个机密项目。”“不能和CFO说。”“只有你和CEO知情。”这种“被信任感”反而让受害者更容易掉入陷阱。

3. 制造紧迫感（Urgency）

诈骗永远强调速度：“必须20分钟内处理！”“错过这次，收购案就完了！”“银行关门前必须完成！”

一个看似真实到无法辨别的“CEO+绝对保密+紧急转账”，一旦这三者叠加，无论是跨国企业、家族办公室还是中小型企业，都可能中招。所以，基于上述特点，再借鉴企业内控领域的最佳实践，可以为企业构建坚固的风险防线提供宝贵的思路与方法（见下文）。

（二）铜墙铁壁——防范Deepfake欺诈的四道防线

为反欺诈建立铜墙铁壁，企业与个人需要建立应对Deepfake的四道防线——结合欺诈案例的分析与笔者的反欺诈实践，笔者总结出对企业客户、家办与高管团队最实用的一套体系。

点击可查看大图

1. 第一层：制度防线（Governance）

第一道防线，就是要建立制度和铁律——任何时间、任何场景，禁止“单人指令汇款”，这包括：

一方面，形成一条绝对铁律——无论视频会议中看到的人看起来多像CEO，都绝不能在未经二次验证的情况下转账；另一方面，强制要求员工必须通过第二通讯渠道核实（如拨打本人常用手机），核验之后方能转款。

也就是说，所有付款都必须经双人审批（Two-Man Rule）。

如果供应商更改账户，必须通过独立渠道验证，关键指令不可通过语音、视频直接执行——这条制度比任何技术都更有效。

2. 第二层：人员防线（Human Risk）

欺诈分子利用人性弱点，通过权威（无论是CEO还是公检法）的强势来施压——所以，公司需要打造一种“可以怀疑老板”的文化。

反欺诈专家特别强调，公司必须建立“无责上报”的文化。没有无责上报文化，就没有安全。为什么？因为Deepfake欺诈的核心之一就是让你“不敢怀疑”。

这点可能对大部分东亚企业尤其困难。很多员工害怕说：“老板，我要确认一下。”因此企业必须让员工知道：“怀疑可疑指令”不会被责难和报复。

核实流程是为了保护公司，任何高管必须接受被复核，只有这样，才能让员工在危险瞬间踩下刹车。

3. 第三层：流程防线（Process）

企业需深刻认识到，仅靠纸面制度远远不够，必须提前开展场景模拟演练。专家明确指出，一支经过演练的团队，其应对效能远超一份被束之高阁的政策——前者的实战价值可能是后者的百倍。正因如此，企业有必要将“深度伪造诈骗应急演练”纳入年度必修课，至少每年开展一次，切实筑牢防诈“实战防线”。

演练内容建议包括：

• 若CEO的视频会议里要求紧急付款，财务人员该怎么办？

• 若家族办公室收到“家族成员本人语音”要求转账该怎么办？

• 是否知道如何第一时间冻结资金？

• 是否知道如何保留会议视频作为电子证据？

• 是否知道如何联系银行进行SWIFT冻结？

如果不进行演练，危机来临时根本来不及反应，不知道哪些步骤可能出现卡点，从而错过“黄金24小时”的追偿时段（见下文）。

4. 第四层：技术防线（Technology）

针对Deepfake这样的AI技术，建议部署Deepfake实时检测工具以及其他软件进行防护，建立一道技术防线。

技术专家指出，人类肉眼99%无法识别 Deepfake。唯一有效的方法是技术检测。现有成熟技术能在Zoom、Teams等会议中嵌入，从而：

• 实时检测脸部是否为深度伪造；

• 识别语音是否为克隆；

• 自动发出警告；

• 自动记录可疑画面供取证。

未来，这样的工具会像“杀毒软件”一样成为企业的标配。

（三）欺诈应对——黄金24小时追偿行动指南

“世界上90%的问题都是有答案的，甚至是有标准答案的。”

——雷军

遭遇Deepfake欺诈被骗之后，首先应该避免六神无主和手忙脚乱。正如雷军所说，“世界上90%的问题都是有答案的，甚至是有标准答案的。”Deepfake欺诈并非“无解”，关键是看认知和速度。

因此，在遭遇欺诈、资金转出时，可以参考执行黄金24小时追偿行动指南（企业与个人建议收藏）。

资金在银行体系中移动的速度有限，前24小时是追回资金的关键窗口。需要采取的步骤如下：

点击可查看大图

1. 第1小时：冻结资金（最关键的一步）

立即通知自己的开户本行（发送方银行），让银行通过SWIFT（环球同业银行金融电讯协会）发出冻结请求，同时通知收款银行（Receiving Bank），要求立即冻结受款账户。速度越快，追回成功率越高。之后，第一时间联系专业的跨境追索法律团队。

2. 第1–6小时：启动法律与技术团队

采取进一步的行动，包括：保存所有视频、截图、音频、聊天记录，抓取所有网络日志与设备信息，联系资产追索律师，申请法院紧急冻结令（紧急情况下，可在法官的非工作时间与之取得联系），申请第三方披露（追查骗子账户开户资料），等等。这一系列的组合拳，需要和境外的相关司法领域的律师快速联动，与时间赛跑。

3. 第6–24小时：开启跨境资金链追踪

通常而言，因欺诈而汇出的资金的“首落账户”（first landing account）最容易冻结，之后会被转入一个到多个“中转站”账户，最终可能进入加密货币或地下钱庄，所以，速度决定能否追回。这往往依赖多个法域的专业“资产追索”律师的配合以及案涉法院和银行的配合。既然找到“首落账户”很关键，同理，找到能够链接境外律师采取联合行动的“首席”法律顾问同样关键。

在黄金24小时之后，不见得无法追回，但是难度和成本会变得更高。

四、小结：未来已来——AI对法律风控的颠覆性影响

“生活的本质是管理风险，而不是试图消灭风险。”

——Walter Wriston（美国知名银行家，花旗集团前董事长兼CEO）

写给企业家的最后一句话——Deepfake欺诈带来的本质威胁不是技术，而是“我们再也无法相信我们看到的、听到的、甚至正在开会的人。”在这个时代，企业和个人需要的，是一套新的“信任系统”和风控系统。

人不能完全相信，视频不能完全相信，声音也不能完全相信。我们必须通过“制度+技术+流程+人”的企业风险防控体系才能共同建立新的“可验证信任”。这将成为未来5–10年众多企业、家族办公室和投资机构的核心议题。

根据笔者与从事跨境追索业务的国际律所的合作与交流的经验，无论是资金还是比特币被盗、深度伪造还是遭遇黑客侵入，又或是其他电信诈骗，想要追回被骗的资金，首先要破的是“认知的局限”——其并非“难以上青天”，而是完全可以通过找对专家、找对方法、找对路径，让追踪、查获和冻结被骗资产成为可能，挽回相关损失。

Deepfake技术的滥用不仅是法律问题，更是对跨境交易信任体系的挑战。唯有通过技术升级、专业的法律服务与跨境协作的三位一体，才能构建起有效的反诈防线、追回损失的资产。对于已遭受损失的受害者，及时寻求专业跨境法律团队的帮助，与时间赛跑，抢在犯罪嫌疑人的前面，拦截和冻结资金，是挽回资产的关键一步。

[注]

[1]See How AI is Redefining Fraud Prevention in 2025，https://www.threatmark.com/how-ai-is-redefining-fraud-prevention-in-2025/.

[2]衢州智造新城公安：《震惊！“变脸”冒充CFO，骗走两个亿！香港最大AI诈骗案细节曝光》，https://mp.weixin.qq.com/s/oZefx4UsmiKeSZOyP8-xNA.

[3]南方都市报，《香港一诈骗集团以交友诱骗投资，被捣破！涉案人员含港超球员》，https://baijiahao.baidu.com/s?id=1820496292508438787&wfr=spider&for=pc.

[4]每日经济新闻，《高达近500万元！“假马斯克”骗光82岁老人毕生积蓄，口型一样，甚至还有南非口音》，https://mp.weixin.qq.com/s/h7VBG7NZmrFeLQ4-lqbL9g.

[5]https://press.aarp.org/2023-06-15-AARP-Report-Finds-28-Billion-a-Year-is-Stolen-from-US-Adults-Over-60.

[6]GoUpSec, 《人脸识别要完？首个“人脸劫持“银行木马诞生》，https://mp.weixin.qq.com/s/7pxgJfiPo3HONc3exoXEjw.

[7]《细思极恐！深度伪造Deepfake 投资骗局蔓延南非甚至针对南非亿万富翁！》，https://mp.weixin.qq.com/s/XSXBVkY_58reHBNn7bjUKQ.