How do scammers get so much detail about my company's vendors and invoicing?

Scammers obtain this information through multiple sources: data breaches of vendor databases that include customer lists and transaction details, compromised employee emails shared on dark web marketplaces, LinkedIn research on your finance staff and company structure, publicly available information from regulatory filings or company websites, and social engineering calls to vendors posing as your employees. Many successful scammers conduct 2-4 weeks of reconnaissance before launching the attack.

What should I do if I've already paid a vendor impersonation invoice?

Contact your bank or wire transfer service immediately and report the fraud—many banks can halt outgoing transfers if reported within 24 hours. Simultaneously notify your actual vendor, your IT security team, law enforcement (FBI at ic3.gov), and your cybersecurity insurance provider if you have a policy. Preserve all email evidence, including headers and metadata, to support recovery efforts and help law enforcement investigations. Recovery is difficult after funds clear, but reporting within hours significantly improves the chance of intercepting the transfer.

How can I verify a vendor's payment information without offending them?

Use a standardized verification process that applies to all vendors equally, so no single vendor feels targeted. Call vendors using the phone number from your previous invoices or their official website, never numbers provided in the suspicious email. You can simply say: 'We received an invoice requesting a payment method change. Before processing, I'm verifying this through our standard security procedure. Can you confirm your current banking information matches [the details from the email]?' Legitimate vendors expect and respect this verification.

What's the difference between vendor impersonation and business email compromise (BEC)?

Vendor impersonation is a specific type of BEC scam where the fraudster impersonates an external vendor rather than pretending to be an executive within your own company. BEC encompasses a broader category of business email fraud, including CEO fraud (impersonating executives), lawyer scams (impersonating legal counsel), and government impersonation. However, the protection strategies are similar: verify through independent channels, require multi-approval for payment changes, and implement email authentication.

If my company falls victim to a vendor impersonation scam, what are my legal obligations?

You should report the fraud to the FBI's Internet Crime Complaint Center (ic3.gov) and potentially local law enforcement, as this supports broader fraud investigations. You may be required to notify customers if the fraud involves their data (depending on state breach notification laws). Inform your bank, cybersecurity insurance carrier, and auditors immediately. While the company that fell victim typically bears the loss unless the bank was negligent in processing a clearly fraudulent transfer, early reporting and documentation improve the chance of recovery and may support insurance claims. Consult with your legal counsel regarding notification obligations specific to your state and industry.

Risque élevé Perte moyenne: $20,000 Durée typique: 1-14 days

Arnaques à l'usurpation de fournisseurs : protégez votre entreprise

Les arnaques à l'usurpation de fournisseurs surviennent lorsque des fraudeurs étudient les fournisseurs légitimes d'une entreprise, puis créent de fausses factures, e-mails ou communications semblant provenir de ces fournisseurs. Le fraudeur cible généralement les services des comptes fournisseurs ou les équipes financières, exploitant la routine des paiements fournisseurs et l'urgence des opérations commerciales. Selon le rapport 2023 du Centre de plaintes pour crimes sur Internet (IC3) du FBI, les escroqueries par compromission de messagerie professionnelle (BEC) — qui impliquent souvent l'usurpation de fournisseurs — ont causé plus de 2,7 milliards de dollars de pertes cette année-là, avec des incidents individuels allant de 20 000 à 150 000 dollars pour les grandes entreprises. Les petites et moyennes entreprises sont particulièrement vulnérables car elles peuvent ne pas disposer de systèmes sophistiqués d'authentification des e-mails ni de protocoles de vérification des paiements que les grandes sociétés mettent en place. Ces arnaques ont beaucoup évolué depuis leur apparition au milieu des années 2010. Les premières versions reposaient sur un simple usurpation d’e-mails, tandis que les attaques modernes intègrent une connaissance détaillée des opérations de l’entreprise, des noms de fournisseurs légitimes, des conditions de paiement exactes, et même des en-têtes et logos d’entreprise reproduits. Les escrocs mènent souvent plusieurs semaines de reconnaissance, surveillant les communications par e-mail et les relations fournisseurs via des fuites de données, l’ingénierie sociale ou des recherches sur LinkedIn. Le délai moyen entre le premier contact et le paiement frauduleux est de 1 à 14 jours, créant une fenêtre étroite pour détecter la fraude avant que les fonds ne soient transférés vers des comptes offshore quasiment introuvables. Le danger dépasse la simple perte financière immédiate. Ces arnaques peuvent détériorer les relations commerciales avec des fournisseurs légitimes, provoquer des écarts comptables déclenchant des audits, exposer les entreprises à des responsabilités juridiques en cas de non-détection de la fraude, et saper la confiance au sein des départements financiers. Les entreprises ciblées à plusieurs reprises sont fréquentes — les escrocs reviennent souvent vers les sociétés compromises avec de nouveaux stratagèmes, et les victimes d’une première attaque ont un risque accru de 20 à 30 % d’être à nouveau ciblées dans les 12 mois suivants.

Tactiques courantes Comment l'identifier Comment se protéger Cas réels Où signaler

Tactiques courantes

• Envoi de factures avec des adresses e-mail légèrement modifiées (par exemple, [email protected] au lieu du domaine d’entreprise légitime) ou utilisation de noms de domaine imitant étroitement l’URL réelle du fournisseur, comme changer « supplier.com » en « suppIier.com » ou « supplier-inc.com ».
• Demande urgente de redirection de paiement en raison de « changements de compte bancaire », « mises à jour système », « problèmes de conformité fiscale » ou « activités de fusion/acquisition » créant une pression temporelle et contournant les procédures normales de vérification.
• Reproduction des communications légitimes du fournisseur en copiant les formats de factures réels, conditions de paiement, numéros de bons de commande et tarifs issus de transactions précédentes découvertes via des fuites d’e-mails ou de l’ingénierie sociale.
• Ciblage d’employés spécifiques par des e-mails de spear-phishing faisant référence à de vrais projets, échéances ou cadres nommément cités, rendant la communication authentique et urgente.
• Utilisation de méthodes de paiement légitimes comme les virements ACH ou bancaires vers des comptes au nom du fournisseur mais situés dans d’autres pays, rendant la récupération des fonds extrêmement difficile une fois le paiement effectué.
• Relances multiples par e-mails ou appels provenant de fausses lignes d’assistance fournisseurs, augmentant la pression et l’urgence tout en répondant aux questions sur la fausse facture avec des détails étonnamment précis sur les opérations de l’entreprise.

Comment l'identifier

Demandes de factures pour des montants nettement supérieurs aux paiements habituels du fournisseur, ou demandes de paiement simultané de plusieurs factures ne correspondant pas aux habitudes de facturation ou à la fréquence habituelle du fournisseur.
Adresses e-mail ou noms de domaine presque identiques à ceux des fournisseurs légitimes mais comportant des fautes d’orthographe subtiles, des extensions différentes (.net au lieu de .com), ou utilisant des services de messagerie gratuits au lieu des domaines d’entreprise.
Demandes soudaines de changement de méthode de paiement, d’ajout de nouveaux bénéficiaires à la liste des fournisseurs approuvés, ou de redirection des paiements vers de nouveaux comptes bancaires sans en-tête officiel, bons de commande ou approbation multipartite du fournisseur.
Communications créant une urgence artificielle en invoquant des délais serrés, des fenêtres de maintenance système ou des opportunités de paiement uniques, surtout lorsqu’elles contournent vos processus d’approvisionnement établis.
Montants des factures ne correspondant pas aux transactions historiques avec ce fournisseur, incluant des lignes inhabituelles ou manquant de descriptions détaillées et d’éléments normalement présents dans les factures légitimes du fournisseur.
En-têtes d’e-mails, métadonnées ou signatures numériques invalides lorsque vous transférez les e-mails à votre équipe de sécurité informatique, ou demandes envoyées à des adresses génériques de l’entreprise plutôt qu’à la personne spécifique des comptes fournisseurs qui reçoit habituellement les communications fournisseurs.

Comment se protéger

Mettre en œuvre des protocoles d’authentification des e-mails incluant SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) et DMARC (Domain-based Message Authentication, Reporting and Conformance) pour détecter et signaler les e-mails usurpés provenant de fournisseurs ou d’adresses internes.
Établir un protocole de vérification obligatoire obligeant le personnel financier à contacter directement les fournisseurs via les numéros de téléphone figurant sur les sites officiels ou les factures précédentes avant de traiter toute demande de modification de paiement, d’intégration de nouveau fournisseur ou de redirection de compte.
Utiliser un logiciel de gestion des fournisseurs centralisant les listes de fournisseurs approuvés, les comptes de paiement et les informations de contact dans un système sécurisé nécessitant une autorisation à plusieurs niveaux avant toute modification.
Former trimestriellement les équipes des comptes fournisseurs et financières aux tactiques d’usurpation de fournisseurs, incluant la reconnaissance du phishing, les techniques de vérification des e-mails et les procédures pour signaler les communications suspectes sans effectuer de paiement au préalable.
Mettre en place une double validation pour tout nouveau fournisseur, virement bancaire dépassant un seuil (généralement entre 5 000 et 50 000 euros selon la taille de l’entreprise) ou changement de méthode de paiement, avec une approbation secondaire par un autre département ou manager.
Surveiller les comptes bancaires et logiciels comptables pour détecter toute activité inhabituelle, notamment les paiements vers de nouveaux comptes, les transferts vers des banques internationales ou des montants de factures très éloignés des normes, en examinant les transactions signalées dans les 24 heures suivant leur traitement.

Cas réels

Une entreprise de fabrication a reçu un e-mail semblant provenir de son principal fournisseur d’électronique (un fournisseur gérant environ 300 000 euros de contrats annuels). L’e-mail, adressé au responsable des comptes fournisseurs, mentionnait une facture urgente de 47 500 euros liée à un projet légitime et demandait un paiement sur un « nouveau compte » suite à une récente consolidation bancaire. L’e-mail incluait le logo réel de l’entreprise et le format de facture copié de transactions précédentes légitimes. En moins de 36 heures, le paiement a été effectué par virement vers un compte bancaire à Singapour. Le fournisseur réel a confirmé 14 jours plus tard ne jamais avoir envoyé cette facture. À ce moment-là, les fonds avaient été retirés et le compte d’origine fermé.

Un cabinet de services professionnels de 150 employés a reçu plusieurs factures totalisant 89 000 euros provenant apparemment de son fournisseur d’infrastructure informatique, dont une facture pour une maintenance d’urgence de serveurs lors d’une panne connue de l’entreprise. L’e-mail provenait de « [email protected] » (alors que la société utilise « [email protected] »). Trois factures distinctes ont été traitées sur 8 jours avant que le fournisseur réel ne demande pourquoi il n’avait pas été payé pour des services légitimes récemment réalisés. L’escroc avait surveillé les problèmes de sécurité des e-mails de l’entreprise pendant trois semaines et connaissait précisément le calendrier de la panne.

Où signaler — France

Canaux officiels de votre région pour signaler cette escroquerie.

Cybermalveillance.gouv.fr

Cybercriminalité

Plateforme officielle d'assistance aux victimes d'actes de cybermalveillance.

Visiter →

Pharos (signalement)

Signalement

Signalement officiel des contenus et comportements illicites en ligne.

Visiter →

Info Escroqueries

Numéro vert

Numéro vert national pour les victimes d'escroqueries (du lundi au vendredi).

0805 805 817

DGCCRF SignalConso

Protection des consommateurs

Signalement des problèmes rencontrés avec une entreprise.

Visiter →

Vous pensez avoir rencontré cette arnaque ?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), arnaques à l'usurpation de fournisseurs : protégez votre entreprise is described at https://scamlens.org/fr/encyclopedia/vendor-impersonation.

https://scamlens.org/fr/encyclopedia/vendor-impersonation

Commencer ici

Vérification de sécurité

Renseignement

Outils et rapports

Services premium

Extension et API

Arnaques à l'usurpation de fournisseurs : protégez votre entreprise

Tactiques courantes

Comment l'identifier

Comment se protéger

Cas réels

Où signaler — France

Cybermalveillance.gouv.fr

Pharos (signalement)

Info Escroqueries

DGCCRF SignalConso

Vous pensez avoir rencontré cette arnaque ?

How to cite this guide