How do scammers get so much detail about my company's vendors and invoicing?

Scammers obtain this information through multiple sources: data breaches of vendor databases that include customer lists and transaction details, compromised employee emails shared on dark web marketplaces, LinkedIn research on your finance staff and company structure, publicly available information from regulatory filings or company websites, and social engineering calls to vendors posing as your employees. Many successful scammers conduct 2-4 weeks of reconnaissance before launching the attack.

What should I do if I've already paid a vendor impersonation invoice?

Contact your bank or wire transfer service immediately and report the fraud—many banks can halt outgoing transfers if reported within 24 hours. Simultaneously notify your actual vendor, your IT security team, law enforcement (FBI at ic3.gov), and your cybersecurity insurance provider if you have a policy. Preserve all email evidence, including headers and metadata, to support recovery efforts and help law enforcement investigations. Recovery is difficult after funds clear, but reporting within hours significantly improves the chance of intercepting the transfer.

How can I verify a vendor's payment information without offending them?

Use a standardized verification process that applies to all vendors equally, so no single vendor feels targeted. Call vendors using the phone number from your previous invoices or their official website, never numbers provided in the suspicious email. You can simply say: 'We received an invoice requesting a payment method change. Before processing, I'm verifying this through our standard security procedure. Can you confirm your current banking information matches [the details from the email]?' Legitimate vendors expect and respect this verification.

What's the difference between vendor impersonation and business email compromise (BEC)?

Vendor impersonation is a specific type of BEC scam where the fraudster impersonates an external vendor rather than pretending to be an executive within your own company. BEC encompasses a broader category of business email fraud, including CEO fraud (impersonating executives), lawyer scams (impersonating legal counsel), and government impersonation. However, the protection strategies are similar: verify through independent channels, require multi-approval for payment changes, and implement email authentication.

If my company falls victim to a vendor impersonation scam, what are my legal obligations?

You should report the fraud to the FBI's Internet Crime Complaint Center (ic3.gov) and potentially local law enforcement, as this supports broader fraud investigations. You may be required to notify customers if the fraud involves their data (depending on state breach notification laws). Inform your bank, cybersecurity insurance carrier, and auditors immediately. While the company that fell victim typically bears the loss unless the bank was negligent in processing a clearly fraudulent transfer, early reporting and documentation improve the chance of recovery and may support insurance claims. Consult with your legal counsel regarding notification obligations specific to your state and industry.

مرتفع متوسط الخسارة: $20,000 المدة المعتادة: 1-14 days

احتيالات انتحال هوية الموردين: احمِ عملك

تحدث احتيالات انتحال هوية الموردين عندما يقوم المحتالون بالبحث عن موردين شرعيين لشركة معينة ثم ينشئون فواتير أو رسائل إلكترونية أو اتصالات مزيفة تبدو وكأنها صادرة عن هؤلاء الموردين. عادةً ما يستهدف المحتال قسم الحسابات الدائنة أو فرق المالية، مستغلاً الطابع الروتيني لمدفوعات الموردين والضغط الناتج عن العمليات التجارية العاجلة. وفقًا لتقرير مركز شكاوى جرائم الإنترنت (IC3) التابع لمكتب التحقيقات الفيدرالي لعام 2023، أدت احتيالات اختراق البريد الإلكتروني للأعمال (BEC) — التي غالبًا ما تشمل انتحال هوية الموردين — إلى خسائر تجاوزت 2.7 مليار دولار أمريكي ذلك العام، مع متوسط خسائر للحوادث الفردية يتراوح بين 20,000 إلى 150,000 دولار للشركات الكبرى. وتكون الشركات الصغيرة والمتوسطة عرضة بشكل خاص لأنها قد تفتقر إلى أنظمة تحقق متقدمة للبريد الإلكتروني وبروتوكولات تحقق من المدفوعات التي تعتمدها الشركات الكبرى. لقد تطورت هذه الاحتيالات بشكل كبير منذ ظهورها في منتصف العقد الأول من القرن الحادي والعشرين. كانت النسخ المبكرة تعتمد على انتحال البريد الإلكتروني بشكل بدائي، لكن هجمات انتحال هوية الموردين الحديثة تتضمن معرفة تفصيلية بعمليات الشركة، وأسماء الموردين الشرعيين، وشروط الدفع الدقيقة، وحتى تكرار رؤوس الخطابات وشعارات الشركة. غالبًا ما يقوم المحتالون بإجراء أسابيع من الاستطلاع، يراقبون اتصالات البريد الإلكتروني وعلاقات الموردين عبر تسريبات بيانات، الهندسة الاجتماعية، أو البحث عبر لينكدإن. متوسط الوقت من الاتصال الأولي إلى الدفع الاحتيالي يتراوح بين 1 إلى 14 يومًا فقط، مما يخلق نافذة ضيقة للكشف قبل تحويل الأموال إلى حسابات خارجية يصعب تتبعها. يمتد الخطر إلى ما هو أبعد من الخسارة المالية الفورية. يمكن أن تتسبب احتيالات انتحال هوية الموردين في إلحاق الضرر بالعلاقات التجارية مع الموردين الشرعيين، وخلق تناقضات محاسبية تؤدي إلى تدقيقات، وتعريض الشركات للمسؤولية القانونية إذا فشلت في اكتشاف الاحتيال، وتقويض الثقة داخل أقسام المالية. كما أن الاستهداف المتكرر شائع — حيث يعود المحتالون غالبًا إلى الشركات التي تم اختراقها بنجاح بخطط جديدة، وتواجه الشركات التي وقعت ضحية مرة واحدة خطرًا أعلى بنسبة 20-30% لهجمات متكررة خلال الاثني عشر شهرًا التالية.

الأساليب الشائعة كيف تتعرّف عليه كيف تحمي نفسك أمثلة حقيقية أين تبلّغ

الأساليب الشائعة

• إرسال فواتير باستخدام عناوين بريد إلكتروني معدلة قليلاً (مثل [email protected] بدلاً من النطاق الرسمي للشركة) أو استخدام أسماء نطاقات تحاكي بشكل قريب عنوان المورد الحقيقي، مثل تغيير 'supplier.com' إلى 'suppIier.com' أو 'supplier-inc.com'.
• طلب تحويل المدفوعات بشكل عاجل بسبب 'تغييرات في الحساب البنكي'، 'تحديثات النظام'، 'مشكلات الامتثال الضريبي'، أو 'أنشطة الاندماج/الاستحواذ' التي تخلق ضغطًا زمنيًا وتتجاوز إجراءات التحقق المعتادة.
• تقليد اتصالات المورد الشرعية من خلال نسخ تنسيقات الفواتير الحقيقية، شروط الدفع، أرقام أوامر الشراء، والأسعار من معاملات سابقة تم اكتشافها عبر تسريبات البريد الإلكتروني أو الهندسة الاجتماعية.
• استهداف موظفين محددين عبر رسائل تصيد موجهة تشير إلى مشاريع حقيقية، مواعيد نهائية، أو أسماء مسؤولين تنفيذيين، مما يجعل الاتصال يبدو أصليًا وذا حساسية زمنية.
• استخدام طرق دفع شرعية مثل التحويلات البنكية ACH أو التحويلات المصرفية إلى حسابات بنكية باسم المورد ولكن في دول مختلفة، مما يجعل استرداد الأموال صعبًا للغاية بمجرد إتمام التحويل.
• المتابعة بعدة رسائل تذكير أو مكالمات من خطوط دعم مزيفة للمورد، مما يزيد الضغط والعجلة مع الإجابة على أسئلة حول الفاتورة المزيفة بتفاصيل دقيقة بشكل مدهش عن عمليات الشركة.

كيف تتعرّف عليه

طلبات فواتير بمبالغ أكبر بكثير من المدفوعات المعتادة للمورد، أو طلبات دفع عدة فواتير دفعة واحدة تختلف عن أنماط الفوترة أو التكرار المعتادة للمورد.
عناوين بريد إلكتروني أو أسماء نطاقات تكاد تكون مطابقة للموردين الشرعيين لكنها تحتوي على أخطاء إملائية طفيفة، امتدادات مختلفة (.net بدلاً من .com)، أو تستخدم خدمات بريد مجانية بدلاً من النطاقات الرسمية للشركة.
طلبات مفاجئة لتغيير طرق الدفع، إضافة مستفيدين جدد لقائمة الموردين المعتمدين، أو تحويل المدفوعات إلى حسابات بنكية جديدة دون وجود رأس خطاب رسمي، أوامر شراء، أو موافقات متعددة من المورد.
اتصالات تخلق حالة استعجال مصطنعة بالاستناد إلى مواعيد نهائية ضيقة، نوافذ صيانة النظام، أو فرص دفع لمرة واحدة، خاصة عندما تتجاوز إجراءات الشراء المعتمدة لديك.
مبالغ الفواتير التي لا تتطابق مع المبالغ التاريخية للمعاملات مع ذلك المورد، تتضمن بنودًا غير معتادة، أو تفتقر إلى الوصف التفصيلي والتجزئة التي توجد عادة في فواتير المورد الشرعية.
رؤوس البريد الإلكتروني، البيانات الوصفية، أو التوقيعات الرقمية التي تبدو غير صالحة عند إعادة توجيه الرسائل إلى فريق أمن تكنولوجيا المعلومات، أو طلبات مرسلة إلى عناوين بريد إلكتروني عامة للشركة بدلاً من جهة الاتصال المحددة في قسم الحسابات الدائنة التي تستلم عادة اتصالات الموردين.

كيف تحمي نفسك

تطبيق بروتوكولات مصادقة البريد الإلكتروني بما في ذلك SPF (إطار سياسة المرسل)، DKIM (مفاتيح المجال للبريد الإلكتروني)، وDMARC (مصادقة الرسائل المستندة إلى النطاق، والتقارير، والامتثال) لاكتشاف وتحديد رسائل البريد الإلكتروني المزيفة من الموردين أو العناوين الداخلية.
وضع بروتوكول تحقق إلزامي يتطلب من موظفي المالية الاتصال بالموردين مباشرة باستخدام أرقام هواتف من المواقع الرسمية للشركة أو الفواتير السابقة قبل معالجة أي طلبات تغيير في الدفع، تسجيل موردين جدد، أو إعادة توجيه الحسابات.
استخدام برامج إدارة الموردين التي تجمع قوائم الموردين المعتمدين، حسابات الدفع، ومعلومات الاتصال في نظام آمن يتطلب تفويضًا متعدد المستويات قبل تسجيل أي تغييرات.
تدريب موظفي الحسابات الدائنة والمالية ربع سنويًا على أساليب انتحال هوية الموردين، بما في ذلك التعرف على التصيد الاحتيالي، تقنيات التحقق من البريد الإلكتروني، وإجراءات الإبلاغ عن الاتصالات المشبوهة دون معالجة المدفوعات أولاً.
تطبيق متطلبات الموافقة المزدوجة لأي موردين جدد، تحويلات بنكية تتجاوز حدود معينة (عادة من 5,000 إلى 50,000 ريال سعودي حسب حجم الشركة)، أو تغييرات في طرق الدفع، مع موافقة ثانوية من قسم أو مدير مختلف.
مراقبة الحسابات البنكية وبرامج المحاسبة لرصد الأنشطة غير المعتادة بما في ذلك المدفوعات إلى حسابات جديدة، التحويلات إلى بنوك دولية، أو مبالغ فواتير خارج النطاقات الطبيعية، ومراجعة المعاملات الم flagged خلال 24 ساعة من المعالجة.

أمثلة حقيقية

تلقت شركة تصنيع رسالة إلكترونية تبدو وكأنها من موردها الرئيسي للإلكترونيات (مورد يتعامل بعقود سنوية تقارب 1.1 مليون ريال سعودي). أُرسلت الرسالة إلى مدير الحسابات الدائنة، وأشارت إلى فاتورة عاجلة بقيمة 178,000 ريال سعودي تتعلق بمشروع شرعي وطلبت الدفع إلى 'حساب جديد' بسبب دمج بنكي حديث. تضمنت الرسالة شعار الشركة الفعلي وتنسيق الفاتورة المنسوخ من معاملات سابقة شرعية. خلال 36 ساعة، تم تنفيذ الدفع عبر تحويل بنكي إلى حساب في سنغافورة. أكد المورد الفعلي بعد 14 يومًا أنه لم يرسل الفاتورة أبدًا. وبحلول ذلك الوقت، تم سحب الأموال وأُغلق الحساب الأصلي.

تلقت شركة خدمات مهنية تضم 150 موظفًا عدة فواتير بمجموع 335,000 ريال سعودي من مزود البنية التحتية لتكنولوجيا المعلومات الخاص بها، بما في ذلك فاتورة واحدة صادرة لصيانة طارئة للخوادم خلال انقطاع معروف تعرضت له الشركة. جاءت الرسالة من '[email protected]' (بينما يستخدم المورد الحقيقي '[email protected]'). تم معالجة ثلاث فواتير منفصلة خلال 8 أيام قبل أن يستفسر المورد الحقيقي عن سبب عدم دفعهم مقابل الخدمات الشرعية التي أنجزوها مؤخرًا. كان المحتال يراقب مشاكل أمان البريد الإلكتروني للشركة لمدة ثلاثة أسابيع وكان يعرف توقيت الانقطاع بالضبط.

أين تبلّغ — الدول العربية

القنوات الرسمية في منطقتك للإبلاغ عن هذا الاحتيال.

هيئة تنظيم الاتصالات السعودية

إبلاغ

بلاغات الاتصالات والاحتيال الرقمي في المملكة العربية السعودية.

1933 زيارة →

الإمارات - عقاب

الجرائم الإلكترونية

منصة شرطة دبي للإبلاغ عن الجرائم الإلكترونية.

زيارة →

مصر - الإدارة العامة لمكافحة جرائم الإنترنت

الجرائم الإلكترونية

الإدارة العامة لمكافحة جرائم الحاسبات والشبكات بوزارة الداخلية المصرية.

108 زيارة →

AECERT (الإمارات)

إبلاغ

الفريق الوطني للاستجابة لطوارئ الحاسب الآلي.

زيارة →

هل تعتقد أنك واجهت هذا الاحتيال؟

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), احتيالات انتحال هوية الموردين: احمِ عملك is described at https://scamlens.org/ar/encyclopedia/vendor-impersonation.

https://scamlens.org/ar/encyclopedia/vendor-impersonation

ابدأ من هنا

فحص الأمان

الاستخبارات

الأدوات والتقارير

الخدمات المميزة

الإضافة وAPI