How do scammers get the detailed information they use in fake invoices, like our past project names or employee names?

Scammers gather information through multiple sources including public websites, LinkedIn profiles, social media, company announcements, industry databases, data breaches, and email leaks. They may also call your company posing as vendors or customers to extract details from staff. Some purchase databases of business contact information that include historical transaction records.

What should I do if I discover I've already paid an invoice fraud scammer?

Contact your bank or payment processor immediately to attempt a reversal, though this is difficult with wire transfers or crypto payments. Report the fraud to the FBI's Internet Crime Complaint Center (IC3), your local law enforcement, and the vendor whose name was impersonated. Document all evidence including the fraudulent email, invoice, and payment confirmation for law enforcement investigation.

Can invoice fraud happen if we use purchase orders and only pay vendors on our approved list?

Yes, because scammers can impersonate vendors already on your approved list using spoofed emails or by exploiting the time gap between when a legitimate purchase order is issued and when payment is due. This is why verification of new bank details and authentication of sender emails is critical, even for established vendors.

How can we distinguish between a legitimate invoice and a fake one if they look nearly identical?

Verify every invoice through direct contact with the vendor using contact information from your internal records or the company's official website, not from the invoice itself. Check that the sender's email address has passed DMARC/SPF authentication, confirm the invoice exists in the vendor's system, and validate that any payment instructions match your records before the invoice arrived.

Are there specific industries or company sizes targeted most by invoice fraud?

Invoice fraud targets companies of all sizes, but mid-sized businesses are especially vulnerable because they process enough invoices to go unnoticed but lack the verification systems of larger enterprises. Industries with high invoice volume like manufacturing, healthcare, professional services, and construction are particularly targeted, as are companies with decentralized approval processes across multiple departments.

High Risk Average Loss: $10,000 Typical Duration: 1-14 days

Fraude de Facturas: Protege tu Empresa de Facturas Falsas

El fraude de facturas es una estafa comercial sofisticada en la que criminales envían facturas falsas a empresas, típicamente suplantando proveedores, vendedores o prestadores de servicios establecidos. El defraudador crea documentación convincente que imita prácticas de facturación legítimas, completa con membretes oficiales, logos de empresas, detalles bancarios y números de factura realistas. Según el Centro de Denuncias de Delitos Cibernéticos del FBI, las pérdidas por fraude de facturas superaron los $2.1 mil millones en 2023, con empresas reportando pérdidas promedio entre $10,000 y $50,000 por incidente. La estafa explota la naturaleza acelerada de las operaciones comerciales, donde los departamentos de contabilidad procesan cientos de facturas mensualmente y pueden no verificar inmediatamente cada proveedor antes del pago. Los estafadores se enfocan específicamente en empresas de tamaño medio porque tienen presupuesto suficiente para autorizar pagos rápidamente pero carecen de los sistemas de verificación rigurosos de las empresas grandes. El plazo típico desde la entrega de la factura hasta el pago fraudulento es de 1-14 días, antes de que el proveedor legítimo note la discrepancia o llegue la factura real.

Common Tactics How to Identify How to Protect Yourself Real-World Examples Frequently Asked Questions

Common Tactics

• Crear réplicas casi perfectas de facturas de empresas reales usando información extraída de sitios web, LinkedIn o correspondencia legítima anterior, incluidas direcciones reales de empresas, números telefónicos y nombres de empleados.
• Usar direcciones de correo falsificadas o similares que se asemejen estrechamente a proveedores legítimos (por ejemplo, 'acmesupply.com' en lugar de 'acmesupplyco.com') para enviar facturas directamente a departamentos de contabilidad.
• Hacer referencia a pedidos, proyectos o acuerdos de servicios legítimos anteriores descubiertos a través de ingeniería social o filtraciones de datos para hacer que las facturas parezcan facturación de seguimiento.
• Solicitar pagos mediante transferencia bancaria, criptomonedas o nuevos detalles bancarios alegando que la empresa cambió recientemente de instituciones financieras o procesadores de pagos.
• Facturar por servicios recurrentes comunes como licencias de software, contratos de mantenimiento, suministros de oficina o servicios públicos donde las cadenas de autorización pueden ser poco claras o delegadas.
• Explotar lenguaje sensible al tiempo como 'vencido', 'por cobrar' o 'pago requerido antes de [fecha]' para presionar el procesamiento rápido sin pasos de verificación exhaustivos.

How to Identify

La factura llega por correo electrónico desde una dirección ligeramente diferente del correo de contacto conocido del proveedor, o solicita pago a través de canales inusuales como transferencia bancaria en lugar del método de pago establecido de la empresa.
La factura contiene inconsistencias menores en formato, gramática o marca de empresa comparada con facturas legítimas anteriores de ese proveedor, o la calidad del logo parece ligeramente diferente.
Tu empresa recibe solicitudes de pago por servicios o productos que tu departamento no recuerda haber solicitado, o la factura hace referencia a un número de proyecto o contrato que no puedes localizar en sistemas internos.
El proveedor de repente solicita pago a una cuenta bancaria nueva, dirección diferente o método de pago alternativo a pesar de años usando los mismos detalles bancarios y términos de pago.
La factura usa lenguaje de facturación genérico ('Factura por Servicios Prestados') en lugar de descripciones específicas del trabajo realizado, o carece de detalles sobre entregables, cronogramas o alcance del proyecto.
La factura llega fuera del horario comercial normal o de un proveedor que típicamente agrupa facturas mensuales, pero esta llega como una solicitud urgente singular.

How to Protect Yourself

Establecer un protocolo de verificación de proveedores que requiera que el personal de contabilidad contacte directamente al proveedor usando números telefónicos o direcciones de correo de tus registros internos (no de la factura) antes de procesar cualquier pago por encima de un umbral establecido.
Implementar un sistema de coincidencia triple donde órdenes de compra, recibos de entrega e facturas se comparan antes de la autorización de pago, y requerir evidencia documentada de bienes recibidos o servicios prestados.
Crear una lista blanca de proveedores aprobados con detalles bancarios confirmados e instrucciones de pago, e identificar cualquier factura solicitando pago a cuentas fuera de esta lista para verificación manual.
Capacitar a equipos de contabilidad y adquisiciones para reconocer tácticas de ingeniería social y señales de alerta de fraude de facturas, con sesiones de actualización trimestrales que incluyan ejemplos reales de intentos de fraude.
Usar herramientas de seguridad de correo que verifiquen la identidad del remitente a través de autenticación DMARC, SPF y DKIM para detectar direcciones de proveedores falsificadas, e implementar alertas cuando correos afirmen ser de proveedores conocidos pero fallen en autenticación.
Requerir confirmación verbal o presencial para cualquier factura solicitando métodos de pago inusuales (transferencias bancarias, criptomonedas, tarjetas de regalo) o pago a nuevos detalles bancarios, incluso si el remitente afirma ser un proveedor de confianza.

Real-World Examples

El departamento de contabilidad de una empresa manufacturera recibe una factura de lo que parece ser su proveedor habitual de suministros de oficina por $8,500 en mantenimiento de equipos. La dirección de correo es casi idéntica al contacto conocido del proveedor, y la factura hace referencia a una llamada de servicio reciente. El solicitante presiona por pago inmediato mediante transferencia bancaria, citando un 'atraso en el procesamiento'. El gerente de contabilidad, ocupado con el cierre de fin de mes, aprueba el pago sin llamar directamente al proveedor. Dos días después, el proveedor legítimo pregunta por qué su factura por mantenimiento real no ha sido pagada, revelando el fraude.

Una agencia de marketing recibe una factura de su proveedor de software establecido por renovación de licencia anual ($12,000). El correo parece legítimo e incluye su número de cuenta y detalles de contrato anterior (información que el estafador obtuvo de una filtración de datos). La factura solicita pago a una cuenta bancaria nueva en Europa del Este, alegando que la empresa se reestructuró recientemente. El pago se procesa antes de que la CFO de la agencia revise su lista de proveedores y se da cuenta de que renovaron su licencia hace dos meses.

Una firma de consultoría de tamaño medio recibe una factura de un proveedor de telecomunicaciones por $15,000 en servicios y actualizaciones de red. La factura es muy detallada con especificaciones técnicas y hace referencia a conversaciones recientes con el director de TI (información obtenida de LinkedIn y anuncios anteriores de la empresa). El defraudador la envía como un 'aviso final' urgente requiriendo pago dentro de 48 horas. Un empleado de cuentas por pagar abrumado la relaciona con una orden de compra vaga de hace seis meses y aprueba la transferencia bancaria, solo para descubrir después que el director de TI nunca aprobó el trabajo.

Frequently Asked Questions

¿Cómo obtienen los estafadores la información detallada que usan en facturas falsas, como nombres de proyectos anteriores o nombres de empleados?

Los estafadores recopilan información a través de múltiples fuentes incluyendo sitios web públicos, perfiles de LinkedIn, redes sociales, anuncios de empresa, bases de datos industriales, filtraciones de datos y fugas de correo. También pueden llamar a tu empresa suplantando proveedores o clientes para extraer detalles del personal. Algunos compran bases de datos de información de contacto comercial que incluyen registros de transacciones históricas.

¿Qué debo hacer si descubro que ya he pagado a un estafador de fraude de facturas?

Contacta inmediatamente a tu banco o procesador de pagos para intentar una reversión, aunque esto es difícil con transferencias bancarias o pagos en criptomonedas. Reporta el fraude al Centro de Denuncias de Delitos Cibernéticos del FBI (IC3), a tu policía local y al proveedor cuyo nombre fue suplantado. Documenta toda evidencia incluyendo el correo fraudulento, factura y confirmación de pago para la investigación de las autoridades.

¿Puede ocurrir fraude de facturas si usamos órdenes de compra y solo pagamos a proveedores en nuestra lista aprobada?

Sí, porque los estafadores pueden suplantar proveedores ya en tu lista aprobada usando correos falsificados o explotando la brecha de tiempo entre cuando se emite una orden de compra legítima y cuando vence el pago. Por eso la verificación de nuevos detalles bancarios y autenticación de correos del remitente es crítica, incluso para proveedores establecidos.

¿Cómo podemos distinguir entre una factura legítima y una falsa si parecen casi idénticas?

Verifica cada factura contactando directamente al proveedor usando información de contacto de tus registros internos o el sitio web oficial de la empresa, no de la factura misma. Comprueba que la dirección de correo del remitente ha pasado autenticación DMARC/SPF, confirma que la factura existe en el sistema del proveedor, y valida que cualquier instrucción de pago coincida con tus registros antes de que la factura llegara.

¿Hay industrias específicas o tamaños de empresa enfocados principalmente por fraude de facturas?

El fraude de facturas enfoca empresas de todos los tamaños, pero las empresas de tamaño medio son especialmente vulnerables porque procesan suficientes facturas para pasar desapercibidas pero carecen de los sistemas de verificación de empresas más grandes. Las industrias con alto volumen de facturas como manufactura, salud, servicios profesionales y construcción son particularmente enfocadas, al igual que empresas con procesos de aprobación descentralizados en múltiples departamentos.

Empezar Aquí

Verificación de seguridad

Inteligencia

Herramientas e informes

Servicios premium

Extensión y API