电话与语音诈骗指南

电话与语音诈骗 （Vishing）：2026 完整防骗指南

把当下最主流的电话骗局一次讲清楚：假冒银行风控让你「把钱转到安全账户」、假冒公检法和政府威胁、假冒技术支持要你回拨、用 AI 克隆家人或高管声音的紧急来电、骗你念出短信验证码、机器人骚扰电话，以及来电显示伪造。逐个拆解它们怎么运作、一条能击溃几乎所有套路的通用防御，以及大陆、台湾、香港分别该向哪里举报。

SB

SafeBrowz 团队 安全研究2026年6月7日12 分钟阅读

为什么电话诈骗在 2026 年越来越凶

今天的电话诈骗早已不是十年前那种笨拙的机器人录音。两个变化让它脱胎换骨。第一，来电显示伪造几乎零成本。屏幕上的号码只是来电方发送的一段数据，用 VoIP 改号软件伪造成你银行的官方客服号、或伪造成一个和你同区号的「邻居号码」，只需几秒钟。第二，生成式语音克隆跨过了普通人也能用的门槛，几秒钟的音频就足以克隆出一段能认出来的声音。Pindrop、Hiya 等反诈话务厂商在 2024 年都报告了合成语音和 AI 辅助诈骗电话的明显上升。

在中国大陆，公安部刑事侦查局和国家反诈中心历年通报都指出，电信网络诈骗仍是损失金额最高的犯罪类型之一，其中假冒公检法、假冒客服、刷单返利长期位居前列。台湾刑事局 165 反诈骗专线和香港反诈骗协调中心（ADCC）也年年通报电话诈骗（俗称「猜猜我是谁」、假冒官员、假冒银行）造成的巨额损失。共同点是：真人的声音能施加任何短信或邮件都给不了的实时压力。

好消息是，几乎所有这些套路都会败给同一个动作，那就是独立核实。下面逐个拆解每种来电，让你在它一开口的瞬间就能认出来。

假冒银行风控：「把钱转到安全账户」的来电

这是电话诈骗里单笔损失最大、也最具迷惑性的一类。对方自称是你开户银行的风控或反洗钱部门，已经叫得出你的名字，有时还能说出你最近的几笔交易，来电显示和银行官方客服号一模一样，因为那是伪造的。剧本是：「检测到您的账户存在异常交易/被列入洗钱监控，为保护您的资金，需要您先把余额转到一个您本人名下的安全账户，我们这边把旧账户冻结排查。」

世界上根本不存在「安全账户」。那个所谓的安全账户就是骗子的账户。这套手法之所以屡屡得手，是因为钱是受害人自己亲手转出去的，很多转账瞬间到账、不可撤销。对方还可能反过来说「您不放心可以挂掉，自己打卡背面的电话确认」，然后保持线路不挂断，你一回拨又回到了同一个骗子那里。在老式固话上线路可被短暂保持；用手机时，先等满一分钟、或换另一部手机再回拨。

识别信号：任何要求转账、任何提到「安全账户/资金清查账户」、任何要你保持通话同时去操作、任何催你在想清楚之前就行动。真正的风控会直接冻结卡片，然后让你按自己的节奏回拨核实。在大陆，正规银行涉案资金由公安联合银行系统直接冻结，绝不需要你「自行转入」任何账户。如果对方接着引导你登录某个「银行安全验证」网页，可以把链接贴到下面先测一测。

假冒公检法与政府机关：警察、检察院、税务、海关

这类来电靠的是恐惧，不是贪婪。一段录音或真人声音自称是公安局、检察院、法院、税务局或海关，剧本是威胁：你涉嫌一桩重大刑事案件（洗钱、贩毒、非法集资），名下有一份逮捕令，或一个国际包裹被海关查扣涉嫌走私，必须立刻「配合资金清查」否则就上门抓人。

付款或转账的要求就是马脚。真正的司法机关绝不会通过电话办案收钱，更不会要求转入「安全账户」自证清白。公安部反复声明：警察绝不会通过视频通话亮证办案，不存在任何形式的「安全账户」，要求对家人保密的就是诈骗。

• 电话里告诉你「有一份逮捕令」，而不是民警当面送达纸质传票。
• 要求把钱转入所谓「安全账户/资金审查专户」自证清白。
• 要求对配偶、子女、父母保密，声称「案件涉密不得告知任何人」。
• 视频通话里穿着警服、对镜头展示「警官证」。
• 来电显示伪造成「110」或当地公安局官方号码。

直接挂断。想核实就自己查号码：在大陆拨打 110 或国家反诈专线 96110 核实，绝不要用对方提供的任何回拨号码。这套骗局的完整拆解见我们的 假冒公检法诈骗完整指南。

假冒技术支持：「您的设备中毒了，请回拨」

这一类常常先从屏幕开始，再转到电话。一个全屏的浏览器弹窗，有时还带警报声，警告你电脑已中毒、已被锁定，要你立刻拨打一个「微软」或「苹果」官方支持热线。另一种是直接打来的冷电话，对方自称是「Windows 技术支持」，说你的电脑一直在向他们发送错误报告。

目标只有一个：远程控制你的电脑。对方会让你安装一个远程协助工具（往往是正规的远程软件），然后用它「演示」给你看一堆假的病毒（Windows 事件查看器里永远有些无害的警告，被他们说成是病毒）。接着要么收一笔「修复费」，要么在连线时偷走你的网银登录，要么诱导你登录网银好把钱转走。微软明确表示：安全警告里绝不会附带电话号码，也绝不会主动打电话给你说你的电脑有问题。苹果对其安全提示也是同样说法。

识别信号：安全警告里居然带着一个电话号码（真的安全警告从来没有），主动打来说你电脑有问题的陌生电话，以及任何要你安装远程控制软件、或在你登录账户时「保持连线」的要求。应对很简单：永远不要拨打弹窗里显示的号码，永远不要让陌生人控制你的屏幕。相关的剪贴板与假验证码套路见 伪造验证码 ClickFix 攻击详解。

AI 语音克隆：家人急事来电与假冒高管

这是上升最快、也最伤人的一类。从社交平台视频、语音留言或直播片段里抓取几秒钟音频，生成式模型就能克隆出某个特定人物的声音。Pindrop、Hiya 都把合成语音诈骗列为 2024 到 2025 年的标志性威胁。

主要有两种形态。第一种是亲属急事骗局：你接到一通哭着的电话，声音听起来就是你的孩子、孙辈或父母，说自己出了车祸、被抓了、急需保释金或律师费，要你「现在马上转过去，千万别告诉妈妈」。克隆的声音 + 恐慌 + 要求保密，就是这套骗局的全部。第二种是假冒高管的财务诈骗：克隆的「老板」或「财务总监」声音打给财务人员，授权一笔紧急转账，有时还配合一封伪造的邮件。这是商业邮件诈骗（BEC）的语音升级版。香港 ADCC 与台湾 165 都通报过用克隆或深伪声音、视频实施的此类案件。

最有效的防御是和家人约定一个暗号。事先和家人、亲密同事约好一个私密的词或问题，是任何社交资料上都查不到的。一旦接到「急事」来电，就先问暗号，克隆的声音答不出来。其他信号：极度紧迫、要求保密、要你转账或买充值卡、以及一个陌生或隐藏号码却自称是你认识的人。挂断，然后用你平时存的真实号码回拨给那个人本人。深入拆解见 克隆声音假冒被捕诈骗 与 深伪视频假冒高管 Zoom 会议诈骗。

骗取验证码：「把刚收到的 6 位验证码念给我」

一次性验证码（OTP）是你账户上的最后一道锁。骗子很清楚这一点，所以整套话术就是为了让你把它念出来。对方冒充你的银行、快递、电商平台或支付机构，说要「核实您的身份」「确认是本人操作」，所以会给你发一个验证码，你只要念回来就行。

实际发生的是：攻击者已经掌握了你的账号和密码（来自数据泄露或钓鱼页面），此刻正在登录你的账户。这次登录触发了一条真实的验证码发到你手机上。你把它念出来，就等于把最后一把钥匙交给了对方，他们随即接管账户，往往还会把你锁在外面。这也是 SIM 卡补卡（补换卡盗号）和账户盗用的核心一步。

• 任何要你念出验证码的人,都是在实施诈骗。验证码是给你自己输入的,绝不该对任何人说出口。
• 短信本身通常就写明:「验证码请勿告知任何人,包括银行客服。」
• 真正的核实电话不需要你刚收到的验证码,他们用别的方式核验身份。
• 催你「趁失效前快念」就是马脚。

无论如何,绝不在电话里把验证码念给任何人,没有例外。如果已经念了,立刻修改密码并锁定账户。这与手机号被盗用的关联,详见 短信验证码 vs 验证器 App：电信被攻破后该用哪种 2FA。

骚扰电话、按键转人工、一声响回拨与邻居号码伪造

有些电话骗局靠的是海量铺设,在真人介入之前先大规模筛出愿意上钩的人。

• 机器人骚扰电话与「按 1 转人工」。一段自动语音（「您的保单即将到期」「需要人工服务请按 1」）把任何回应的人转给真人骗子。按任何键、甚至只是回答一声「在」「是」,都会确认你的号码是活号,反而招来更多电话。
• 一声响回拨（Wangiri）。手机被一个陌生的、往往是境外的号码响一声就挂断。好奇心驱使你回拨,而那是一个高额收费线路,一边拖住你一边按分钟计费。永远不要回拨你不认识的一声响号码。
• 邻居号码伪造。骗子把来电显示伪造成和你同区号、同号段的号码,看起来本地又熟悉。骗局内容完全一样,只是换了一层更容易让你接的伪装。

通用原则:不要互动。不按键、不说「是」、不回拨不认识的一声响号码。让陌生来电转入语音信箱,真正要找你的人会留言。在大陆,骚扰和诈骗电话可通过 12321 网络不良信息举报中心举报,也可在国家反诈中心 App 内一键举报。

真正有效的几条防御

剥掉各种花样,真正能击溃上面每一种来电的,就是这几个习惯。

• 先挂断,自己回拨官方电话。用卡背面、对账单或你自己输入进入的官网上的号码,绝不用对方给的号码,也绝不用来电显示上的号码。
• 把来电显示当作毫无意义。它几秒就能被伪造,屏幕上显示「认证过的」银行或机关名称,根本不是核实。
• 绝不念出一次性验证码。验证码由你自己输入,绝不对任何人说出口,包括自称是你银行的人。
• 和家人约定暗号。对抗 AI 语音克隆最好的单一防御。选一个私密、从不发到网上的词。
• 记住正规机构从不会做的事。没有任何真银行或政府会要你把钱转到「安全账户」、用充值卡或加密货币付款、安装远程软件、或对家人保密一通电话。
• 慢下来。紧迫感就是骗子的武器。任何正经事都经得起停五分钟、独立回拨核实一下。
• 让陌生来电转语音信箱。真人会留言,大多数骗子不会。

如果你已经泄露了信息或转了钱,不要因为难为情而僵住,要立刻行动。完整的补救步骤见 被骗之后该怎么办,然后第一时间拨打银行客服和下方对应地区的举报电话。如果这通电话是「投资理财」「高回报项目」的开头,务必读一读 杀猪盘骗局深度拆解。

各地区举报渠道(真实可用)

当下你可能觉得举报没用,但这正是反诈机构追踪并打掉诈骗窝点的方式。即便没有损失,也请举报。

• 中国大陆:反诈劝阻/咨询拨打 96110;下载「国家反诈中心」App(公安部刑事侦查局官方出品)一键举报可疑来电、转账前自动拦截;骚扰电话向 12321 网络不良信息举报中心举报;遭遇诈骗或已转账立即报警 110。
• 台湾:拨打 165 反诈骗咨询专线核实与举报,紧急情况报警 110。
• 香港:拨打防骗易热线 18222(反诈骗协调中心 ADCC),用「守网者」网站的诈骗搜寻器 Scameter 查证可疑号码与网址,紧急情况报警 999。
• 通用第一步:不管在哪里,只要钱已经从账户转出,先立刻拨打你转出银行的客服电话(如大陆工行 95588、建行 95533、招行 95555)要求紧急止付冻结,再去做正式报案。

大陆存在「黄金止付窗口」,通常是转账后 24 至 48 小时内,资金仍在涉案账户层级流转时,公安联合银行紧急冻结仍可追回部分。动作越快,成功率越高。报案后若有人自称「网警」「黑客」承诺付费帮你追回,那是二次诈骗,真正的资金追回从不收费。

SafeBrowz 如何拦截此威胁

SafeBrowz 没法替你接电话,但绝大多数语音诈骗都有一条数字尾巴:挂断后跟来一条带「安全登录」链接的短信,一个写着假支持热线的弹窗,一个让你输入资料的钓鱼页面。这正是 SafeBrowz 介入的地方。我们采用 3 层检测架构:本地 + API + AI。

• 第 1 层 - 本地检测:60+ URL 模式 + 550+ 品牌签名库(含西里尔字母与 Punycode 同形异义变体)+ 社区白名单/黑名单,全部在扩展程序内、页面渲染之前直接运行。骗子短信或弹窗里的仿冒银行、公检法、技术支持链接一打开就被识别。
• 第 2 层 - API 检查:聚合 Google Safe Browsing、PhishTank、URLhaus 等威胁情报源,外加 30+ 诈骗 TLD 启发式规则,识别语音诈骗后续常用的已知恶意域名。
• 第 3 层 - AI 深度扫描(高级版):支持 100+ 语言的内容分析,数秒内识别新型变体,包括尚未进入任何黑名单的、刚注册的仿冒银行和假支持页面。

检测签名源自威胁情报研究和我们内部的品牌数据库,而非用户浏览数据。SafeBrowz 不存储每个用户的浏览历史。

常见问题

怎么判断一通电话是不是真的来自我的银行?

光凭这通电话本身判断不出来,你也不需要。来电显示能被伪造成银行的真实号码,骗子还可能知道你的名字和最近的交易。唯一可靠的核实是挂断,然后用卡背面或对账单上印的号码回拨。先等一分钟或换另一部手机,确保原来那通电话彻底断线。真正的风控乐于让你回拨核实;骗子才会施压要你别挂电话。

真正的银行或政府会不会要我把钱转到安全账户?

不会。根本不存在「安全账户」,没有任何正规银行或政府机关会要求你把钱「转到别处保护起来」。这个要求本身就是诈骗的证据。真正的银行会冻结或停用受影响的卡,让你的钱留在原处。任何叫你把钱转走的人,都是想把钱转到他们自己那里。在中国,涉案资金由公安联合银行系统直接冻结,绝不需要当事人自行转账。

为什么绝不能念出一次性验证码(OTP)?

一次性验证码是你账户上的最后一道安全检查。当有人打来要你把它念回去,几乎可以肯定他们此刻正在登录你的账户,这正是验证码被发到你手机上的原因。把它念出来就等于把最后一把钥匙交给对方,他们随即接管账户。验证码是给你自己输入到 App 或网站里的,绝不对任何人说出口,包括自称是你银行的来电者。

怎么分辨来电是不是 AI 克隆了我家人的声音?

很多时候靠耳朵分辨不出来,这正是危险所在,几秒音频就足以克隆出一段能认出来的声音。可靠的防御是家庭暗号:一个事先约定、从不发到网上的私密词或问题。一旦接到「亲属」的急事来电,就问暗号,克隆的声音答不出来。其他警示信号包括极度紧迫、要求保密(「别告诉妈妈」)、要你转账或买充值卡,以及来电是陌生号码。挂断,用你平时存的真实号码回拨给本人。

我在骚扰电话里按了键或说了「是」,危险吗?

按键或回答会向系统确认你的号码是活号、而且会回应,这通常意味着更多诈骗电话,而不是更少。它本身不会直接划走你的钱,所以不必惊慌。风险在后面:如果真人骗子接着说动你交出卡号、验证码或转账。今后对骚扰电话不要按键、不要回应,直接挂断。如果这通电话已经让你泄露了任何金融信息,就当成真实事件处理,立即联系你的银行。

挂断后才发现已经给了对方东西,我该怎么办?

立刻行动。若已泄露卡号、密码或一次性验证码,马上拨打银行客服冻结卡片、锁定账户,再修改密码以及任何复用了同一密码的账户。若已转账,立即打银行电话尝试紧急止付或冻结,速度就是一切。然后举报:大陆拨打 96110、报警 110、用国家反诈中心 App 提交;台湾拨打 165;香港拨打 18222、报警 999。我们的补救指南会按顺序带你走完每一步。