How do scammers get so much detail about my company's vendors and invoicing?

Scammers obtain this information through multiple sources: data breaches of vendor databases that include customer lists and transaction details, compromised employee emails shared on dark web marketplaces, LinkedIn research on your finance staff and company structure, publicly available information from regulatory filings or company websites, and social engineering calls to vendors posing as your employees. Many successful scammers conduct 2-4 weeks of reconnaissance before launching the attack.

What should I do if I've already paid a vendor impersonation invoice?

Contact your bank or wire transfer service immediately and report the fraud—many banks can halt outgoing transfers if reported within 24 hours. Simultaneously notify your actual vendor, your IT security team, law enforcement (FBI at ic3.gov), and your cybersecurity insurance provider if you have a policy. Preserve all email evidence, including headers and metadata, to support recovery efforts and help law enforcement investigations. Recovery is difficult after funds clear, but reporting within hours significantly improves the chance of intercepting the transfer.

How can I verify a vendor's payment information without offending them?

Use a standardized verification process that applies to all vendors equally, so no single vendor feels targeted. Call vendors using the phone number from your previous invoices or their official website, never numbers provided in the suspicious email. You can simply say: 'We received an invoice requesting a payment method change. Before processing, I'm verifying this through our standard security procedure. Can you confirm your current banking information matches [the details from the email]?' Legitimate vendors expect and respect this verification.

What's the difference between vendor impersonation and business email compromise (BEC)?

Vendor impersonation is a specific type of BEC scam where the fraudster impersonates an external vendor rather than pretending to be an executive within your own company. BEC encompasses a broader category of business email fraud, including CEO fraud (impersonating executives), lawyer scams (impersonating legal counsel), and government impersonation. However, the protection strategies are similar: verify through independent channels, require multi-approval for payment changes, and implement email authentication.

If my company falls victim to a vendor impersonation scam, what are my legal obligations?

You should report the fraud to the FBI's Internet Crime Complaint Center (ic3.gov) and potentially local law enforcement, as this supports broader fraud investigations. You may be required to notify customers if the fraud involves their data (depending on state breach notification laws). Inform your bank, cybersecurity insurance carrier, and auditors immediately. While the company that fell victim typically bears the loss unless the bank was negligent in processing a clearly fraudulent transfer, early reporting and documentation improve the chance of recovery and may support insurance claims. Consult with your legal counsel regarding notification obligations specific to your state and industry.

High Risk Average Loss: $20,000 Typical Duration: 1-14 days

Betrügereien durch Lieferantenemsersonation: Schützen Sie Ihr Unternehmen

Betrügereien durch Lieferantenimpersonation treten auf, wenn Betrüger die legitimen Lieferanten eines Unternehmens recherchieren und dann gefälschte Rechnungen, E-Mails oder Mitteilungen erstellen, die angeblich von diesen Lieferanten stammen. Der Betrüger zielt typischerweise auf Kreditorenbuchhaltungs- oder Finanzbereiche ab und nutzt die Routine von Lieferantenzahlungen sowie die Dringlichkeit des Geschäftsbetriebs aus. Nach dem FBI Internet Crime Complaint Center (IC3) Report von 2023 führten Business Email Compromise (BEC) Betrügereien – die häufig Lieferantenimpersonation beinhalten – zu Verlusten von über 2,7 Milliarden Dollar in diesem Jahr, wobei einzelne Vorfälle für größere Unternehmen durchschnittlich 20.000 bis 150.000 Dollar verursachten. Kleine und mittlere Unternehmen sind besonders anfällig, da ihnen möglicherweise ausgefeilte E-Mail-Authentifizierungssysteme und Zahlungsverifizierungsprotokolle fehlen, die größere Unternehmen implementieren. Diese Betrügereien haben sich seit ihrem Auftreten in der Mitte der 2010er Jahre erheblich weiterentwickelt. Frühe Versionen verließen sich auf primitive E-Mail-Spoofing-Techniken, aber moderne Lieferantenimpersonationen nutzen nun detailliertes Wissen über Unternehmensvorgänge, legitime Lieferantennamen, genaue Zahlungsbedingungen und sogar nachgeahmte Firmenkopfzeilen und Logos. Betrüger führen häufig zwei bis vier Wochen Aufklärung durch, überwachen Unternehmens-E-Mail-Kommunikation und Lieferantenbeziehungen durch Datenpannen, Social Engineering oder LinkedIn-Recherche. Die durchschnittliche Zeit von der Erstkontaktaufnahme bis zur betrügerischen Zahlung beträgt nur 1–14 Tage, was ein enges Erkennungsfenster schafft, bevor Gelder auf Offshore-Konten überwiesen werden, die praktisch nicht nachverfolgbar werden. Die Gefahr geht über unmittelbare finanzielle Verluste hinaus. Betrügereien durch Lieferantenimpersonation können Geschäftsbeziehungen zu legitimen Lieferanten beschädigen, Bilanzierungsabweichungen verursachen, die Audits auslösen, Unternehmen einer rechtlichen Haftung aussetzen, wenn sie den Betrug nicht aufdecken, und das Vertrauen in Finanzbereichen untergraben. Eine wiederholte Ausrichtung ist häufig – Betrüger kehren häufig zu erfolgreich kompromittierten Unternehmen mit neuen Betrügereien zurück, und Unternehmen, die einmal Opfer werden, sind in den folgenden 12 Monaten einem 20–30 % höheren Risiko für wiederholte Angriffe ausgesetzt.

Common Tactics How to Identify How to Protect Yourself Real-World Examples Frequently Asked Questions

Common Tactics

• Versand von Rechnungen mit leicht veränderten E-Mail-Adressen (z.B. [email protected] statt der legitimen Unternehmensdomäne) oder mit Domainnamen, die der echten Lieferanten-URL ähneln, wie zum Beispiel 'supplier.com' zu 'suppIier.com' oder 'supplier-inc.com' verändernd.
• Anforderung dringender Zahlungsumleitungen aufgrund von 'Bankkontoänderungen', 'Systemaktualisierungen', 'Steuerkonformitätsproblemen' oder 'Fusion/Übernahmevorgängen', die Zeitdruck erzeugen und normale Verifizierungsverfahren umgehen.
• Replikation legitimer Lieferantenmitteilungen durch Kopieren tatsächlicher Rechnungsformate, Zahlungsbedingungen, Bestellnummern und Preise aus früheren Transaktionen, die durch E-Mail-Pannen oder Social Engineering entdeckt wurden.
• Ansprache spezifischer Mitarbeiter durch Spear-Phishing-E-Mails, die echte Projekte, Fristen oder Führungskräfte namentlich erwähnen, um die Mitteilung authentisch und zeitkritisch wirken zu lassen.
• Nutzung legitimer Zahlungsmethoden wie ACH-Überweisungen oder Überweisungen auf Bankkonten im Namen des Lieferanten, aber in verschiedenen Ländern, um die Rückforderung nach Geldeingang extrem schwierig zu machen.
• Nachverfolgung mit mehreren Erinnerungs-E-Mails oder Anrufen von gefälschten Lieferanten-Support-Leitungen, die Druck und Dringlichkeit eskalieren und Fragen zur gefälschten Rechnung mit überraschend genauen Details zu den Unternehmensabläufen beantworten.

How to Identify

Rechnungsanforderungen für deutlich höhere Beträge als typische Lieferantenzahlungen oder Anforderungen, mehrere Rechnungen auf einmal zu bezahlen, die sich von den üblichen Abrechnungsmustern oder der Häufigkeit des Lieferanten unterscheiden.
E-Mail-Adressen oder Domainnamen, die legitimen Lieferanten fast identisch sind, aber subtile Tippfehler, unterschiedliche Erweiterungen (.net statt .com) enthalten oder kostenlose E-Mail-Dienste statt Unternehmensdomänen nutzen.
Plötzliche Anforderungen, Zahlungsmethoden zu ändern, neue Zahlungsempfänger zur genehmigten Lieferantenliste hinzuzufügen oder Zahlungen auf neue Bankkonten ohne begleitendes offizielles Briefpapier, Bestellscheine oder mehrstufige Genehmigung vom Lieferanten umzuleiten.
Mitteilungen, die künstliche Dringlichkeit durch Verweis auf enge Fristen, Systemwartungsfenster oder einmalige Zahlungsmöglichkeiten schaffen, besonders wenn sie Ihre etablierten Beschaffungsworkflows umgehen.
Rechnungsbeträge, die nicht mit historischen Transaktionsbeträgen mit diesem Lieferanten übereinstimmen, ungewöhnliche Positionen enthalten oder die detaillierten Beschreibungen und Gliederungen vermissen, die normalerweise in den legitimen Rechnungen dieses Lieferanten zu finden sind.
E-Mail-Header, Metadaten oder digitale Signaturen, die ungültig erscheinen, wenn Sie E-Mails an Ihr IT-Sicherheitsteam weitergeleitet haben, oder Anforderungen, die an generische Unternehmens-E-Mail-Adressen statt an die spezifische Kreditorenbuchhaltungskontaktperson gesendet werden, die normalerweise Lieferantenmitteilungen erhält.

How to Protect Yourself

Implementieren Sie E-Mail-Authentifizierungsprotokolle einschließlich SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting and Conformance), um gefälschte E-Mails von Lieferanten oder internen Adressen zu erkennen und zu kennzeichnen.
Etablieren Sie ein obligatorisches Verifizierungsverfahren, das Finanzmitarbeitern vorschreibt, Lieferanten direkt zu kontaktieren, indem Telefonnummern von offiziellen Unternehmenswebsites oder früheren Rechnungen verwendet werden, bevor Zahlungsänderungsanforderungen, neue Lieferantenintegration oder Kontoumleitungen verarbeitet werden.
Nutzen Sie Lieferantenmanagementsoftware, die genehmigte Lieferantenlisten, Zahlungskonten und Kontaktinformationen in einem sicheren System zentralisiert, das mehrere Autorisierungsstufen erfordert, bevor Änderungen aufgezeichnet werden.
Schulen Sie Kreditorenbuchhaltungs- und Finanzmitarbeiter vierteljährlich zu Lieferantenimpersonationstaktiken, einschließlich Phishing-Erkennung, E-Mail-Verifizierungstechniken und Verfahren zum Kennzeichnen verdächtiger Mitteilungen ohne vorherige Zahlungsverarbeitung.
Implementieren Sie duale Genehmigungsanforderungen für neue Lieferanten, Überweisungen über Schwellenwertbeträge (typischerweise 5.000–50.000 Euro je nach Unternehmensgröße) oder Zahlungsmethodenänderungen, mit sekundärer Genehmigung von einer anderen Abteilung oder einem Manager.
Überwachen Sie Bankkonten und Buchhaltungssoftware auf ungewöhnliche Aktivitäten wie Zahlungen auf neue Konten, Überweisungen auf internationale Banken oder Rechnungsbeträge deutlich außerhalb normaler Bereiche, überprüfen Sie gekennzeichnete Transaktionen innerhalb von 24 Stunden nach der Verarbeitung.

Real-World Examples

Ein Produktionsunternehmen erhielt eine E-Mail, die angeblich von seinem primären Elektroniklieferanten stammte (ein Lieferant mit etwa 300.000 Euro jährlichem Vertrag). Die an den Kreditorenbuchhaltungsleiter gesendete E-Mail bezog sich auf eine dringende Rechnung von 47.500 Euro für ein legitimes Projekt und forderte Zahlung auf ein 'neues Konto' aufgrund einer kürzlichen Bankkonsolidierung an. Die E-Mail enthielt das tatsächliche Unternehmenslogo und das Rechnungsformat, das von legitimen früheren Transaktionen kopiert wurde. Innerhalb von 36 Stunden wurde die Zahlung per Überweisung auf ein Bankkonto in Singapur verarbeitet. Der eigentliche Lieferant bestätigte 14 Tage später, dass er die Rechnung nie gesendet hatte. Zu diesem Zeitpunkt waren die Gelder bereits abgehoben worden und das Ursprungskonto war geschlossen.

Eine professionelle Dienstleistungsfirma mit 150 Mitarbeitern erhielt mehrere Rechnungen im Gesamtwert von 89.000 Euro, die angeblich von ihrem IT-Infrastrukturlieferanten stammten, einschließlich einer Rechnung für angebliche Notfall-Serverwartung während eines bekannten Ausfalls, den das Unternehmen erlebt hatte. Die E-Mail stammte von '[email protected]' (das echte Unternehmen nutzt '[email protected]'). Drei separate Rechnungen wurden über 8 Tage hinweg verarbeitet, bevor der eigentliche Lieferant fragte, warum er nicht für legitime Dienstleistungen, die er kürzlich abgeschlossen hatte, bezahlt worden war. Der Betrüger hatte die E-Mail-Sicherheitsprobleme des Unternehmens drei Wochen lang überwacht und kannte den genauen Ausfallzeitpunkt.

Der Finanzleiter eines 45-Personen-Beratungsunternehmens erhielt einen Anruf von jemandem, der behauptete, vom Bürobedarfslieferanten des Unternehmens zu stammen und ausführte, dass das Unternehmenskonto eine sofortige Zahlung von 12.300 Euro für überfällige Rechnungen benötigte, bevor die Dienste eingestellt würden. Der Anrufer nannte genaue Bestellnummern und Lieferdaten aus einem kürzlichen Datenleck der Kundendatenbank des Lieferanten. Der Finanzleiter, unter Druck und besorgt um die Geschäftskontinuität, verarbeitete die Zahlung noch am selben Tag. Nur als der Lieferant drei Tage später anrief, um die legitime Rechnung zu verfolgen, wurde der Betrug entdeckt. Der Betrüger hatte die kompromittierten Kundendaten des Lieferanten von einem Dark-Web-Marktplatz für etwa 400 Euro erworben.

Frequently Asked Questions

Wie kommen Betrüger an so viele Details über die Lieferanten und die Rechnungsstellung meines Unternehmens?

Betrüger erhalten diese Informationen durch mehrere Quellen: Datenpannen von Lieferantendatenbanken mit Kundenlisten und Transaktionsdetails, kompromittierte Mitarbeiter-E-Mails, die auf Dark-Web-Marktplätzen geteilt werden, LinkedIn-Recherche zu Ihrem Finanzmitarbeitern und Unternehmensstruktur, öffentlich verfügbare Informationen von behördlichen Anmeldungen oder Unternehmenswebsites und Social-Engineering-Anrufe bei Lieferanten, die sich als Ihre Mitarbeiter ausgeben. Viele erfolgreiche Betrüger führen 2–4 Wochen Aufklärung durch, bevor sie den Angriff starten.

Was sollte ich tun, wenn ich bereits eine Rechnung durch Lieferantenimpersonation bezahlt habe?

Kontaktieren Sie sofort Ihre Bank oder Ihren Überweisungsdienst und melden Sie den Betrug – viele Banken können ausgehende Überweisungen unterbrechen, wenn sie innerhalb von 24 Stunden gemeldet werden. Benachrichtigen Sie gleichzeitig Ihren eigentlichen Lieferanten, Ihr IT-Sicherheitsteam, die Strafverfolgungsbehörden (FBI unter ic3.gov) und Ihren Cybersicherheitsversicherer, falls Sie eine Police haben. Bewahren Sie alle E-Mail-Nachweise auf, einschließlich Header und Metadaten, um Rückforderungsbemühungen zu unterstützen und Ermittlungen der Strafverfolgungsbehörden zu unterstützen. Die Rückforderung ist nach Geldeingang schwierig, aber eine Meldung innerhalb von Stunden verbessert die Chance, die Überweisung zu unterbrechen, erheblich.

Hier starten

Sicherheitsprüfung

Intelligence

Tools & Berichte

Premium-Dienste

Erweiterung & API