How do scammers get so much detail about my company's vendors and invoicing?

Scammers obtain this information through multiple sources: data breaches of vendor databases that include customer lists and transaction details, compromised employee emails shared on dark web marketplaces, LinkedIn research on your finance staff and company structure, publicly available information from regulatory filings or company websites, and social engineering calls to vendors posing as your employees. Many successful scammers conduct 2-4 weeks of reconnaissance before launching the attack.

What should I do if I've already paid a vendor impersonation invoice?

Contact your bank or wire transfer service immediately and report the fraud—many banks can halt outgoing transfers if reported within 24 hours. Simultaneously notify your actual vendor, your IT security team, law enforcement (FBI at ic3.gov), and your cybersecurity insurance provider if you have a policy. Preserve all email evidence, including headers and metadata, to support recovery efforts and help law enforcement investigations. Recovery is difficult after funds clear, but reporting within hours significantly improves the chance of intercepting the transfer.

How can I verify a vendor's payment information without offending them?

Use a standardized verification process that applies to all vendors equally, so no single vendor feels targeted. Call vendors using the phone number from your previous invoices or their official website, never numbers provided in the suspicious email. You can simply say: 'We received an invoice requesting a payment method change. Before processing, I'm verifying this through our standard security procedure. Can you confirm your current banking information matches [the details from the email]?' Legitimate vendors expect and respect this verification.

What's the difference between vendor impersonation and business email compromise (BEC)?

Vendor impersonation is a specific type of BEC scam where the fraudster impersonates an external vendor rather than pretending to be an executive within your own company. BEC encompasses a broader category of business email fraud, including CEO fraud (impersonating executives), lawyer scams (impersonating legal counsel), and government impersonation. However, the protection strategies are similar: verify through independent channels, require multi-approval for payment changes, and implement email authentication.

If my company falls victim to a vendor impersonation scam, what are my legal obligations?

You should report the fraud to the FBI's Internet Crime Complaint Center (ic3.gov) and potentially local law enforcement, as this supports broader fraud investigations. You may be required to notify customers if the fraud involves their data (depending on state breach notification laws). Inform your bank, cybersecurity insurance carrier, and auditors immediately. While the company that fell victim typically bears the loss unless the bank was negligent in processing a clearly fraudulent transfer, early reporting and documentation improve the chance of recovery and may support insurance claims. Consult with your legal counsel regarding notification obligations specific to your state and industry.

높음 평균 피해액: $20,000 일반적 기간: 1-14 days

공급업체 사칭 사기: 비즈니스 보호 방법

공급업체 사칭 사기는 사기꾼들이 기업의 합법적인 공급업체를 조사한 후 그 공급업체로부터 온 것처럼 보이는 가짜 송장, 이메일 또는 통신을 생성할 때 발생합니다. 사기꾼은 일반적으로 지급 담당 부서나 재무 팀을 표적으로 삼으며, 공급업체 결제의 일상적 특성과 업무 운영의 긴급성을 악용합니다. FBI의 2023년 인터넷 범죄 불만 센터(IC3) 보고서에 따르면, 공급업체 사칭과 관련된 비즈니스 이메일 손상(BEC) 사기는 그해 27억 달러 이상의 손실을 야기했으며, 대기업의 경우 개별 사건당 평균 2만 달러에서 15만 달러의 손실을 기록했습니다. 소규모 및 중견 기업들은 대기업이 구현하는 정교한 이메일 인증 시스템과 결제 검증 프로토콜이 부족할 수 있어 특히 취약합니다. 이러한 사기는 2010년대 중반에 등장한 이후 상당히 진화했습니다. 초기 버전은 조잡한 이메일 스푸핑에 의존했지만, 현대의 공급업체 사칭 공격은 이제 회사 운영에 대한 상세한 지식, 합법적인 공급업체 이름, 정확한 결제 조건, 심지어 복제된 회사 레터헤드와 로고를 포함합니다. 사기꾼들은 종종 데이터 유출, 사회 공학, LinkedIn 조사를 통해 회사의 이메일 통신과 공급업체 관계를 모니터링하면서 몇 주간의 정찰을 실시합니다. 초기 접촉부터 사기성 결제까지의 평균 시간은 단 1~14일이며, 이는 자금이 사실상 추적 불가능한 해외 계좌로 이체되기 전에 탐지할 수 있는 좁은 시간 창을 만듭니다. 위험은 즉각적인 재정적 손실을 넘어 확장됩니다. 공급업체 사칭 사기는 합법적인 공급업체와의 비즈니스 관계를 손상시킬 수 있으며, 감사를 유발하는 회계 불일치를 초래하고, 기업이 사기를 탐지하지 못할 경우 법적 책임에 노출시키며, 재무 부서 내 신뢰를 훼손할 수 있습니다. 반복 표적화는 흔하며, 사기꾼들은 종종 성공적으로 손상된 회사에 새로운 계획으로 돌아오고, 한 번 피해를 입은 기업들은 이후 12개월 내에 반복 공격의 위험이 20~30% 높습니다.

주요 수법 식별 방법 자신을 보호하는 법 실제 사례 신고 채널

주요 수법

• 약간 변경된 이메일 주소(예: 합법적인 회사 도메인 대신 [email protected])를 사용하거나 실제 공급업체 URL을 밀접하게 모방하는 도메인 이름을 사용하여 송장을 전송합니다. 예를 들어 'supplier.com'을 'suppIier.com' 또는 'supplier-inc.com'으로 변경합니다.
• '은행 계좌 변경', '시스템 업데이트', '세금 준수 문제' 또는 '인수합병 활동' 등으로 인한 긴급 결제 리다이렉션을 요청하여 시간 압박을 생성하고 일반적인 검증 절차를 우회합니다.
• 이메일 유출이나 사회 공학을 통해 발견된 이전 거래에서 실제 송장 형식, 결제 조건, 구매 주문 번호 및 가격 책정을 복사하여 합법적인 공급업체 통신을 복제합니다.
• 실제 프로젝트, 마감일 또는 경영진 이름을 참조하는 스피어피싱 이메일을 통해 특정 직원을 표적으로 삼아 통신을 진정성 있고 시간에 민감하게 만듭니다.
• ACH 송금 또는 송금 같은 합법적인 결제 방법을 사용하여 공급업체 이름의 은행 계좌로 결제하지만 다른 국가에 위치한 계좌로 보내 자금이 정산된 후 회수를 극도로 어렵게 만듭니다.
• 가짜 공급업체 지원 라인에서 여러 개의 알림 이메일이나 전화를 통해 후속 조치를 하여 압력과 긴급성을 높이면서 회사 운영에 관한 놀라울 정도로 정확한 세부 정보로 가짜 송장에 대한 질문에 답합니다.

식별 방법

전형적인 공급업체 결제보다 훨씬 큰 금액의 송장 요청 또는 공급업체의 일반적인 청구 패턴이나 빈도와 다른 여러 송장을 한 번에 결제하도록 요청합니다.
합법적인 공급업체와 거의 동일하지만 미묘한 오타를 포함하거나 다른 확장자(.com 대신 .net)를 사용하거나 회사 도메인 대신 무료 이메일 서비스를 사용하는 이메일 주소 또는 도메인 이름입니다.
공급업체의 공식 레터헤드, 구매 주문서 또는 다중 당사자 승인 없이 결제 방법 변경, 승인된 공급업체 목록에 새 수취인 추가 또는 새 은행 계좌로 결제 리다이렉션을 요청합니다.
빠듯한 마감일, 시스템 유지 보수 기간 또는 일회성 결제 기회를 인용하여 인위적인 긴급성을 생성하는 통신으로, 특히 확립된 조달 워크플로우를 우회할 때 그렇습니다.
해당 공급업체와의 역사적 거래 금액과 일치하지 않는 송장 금액, 비정상적인 라인 항목을 포함하거나 해당 공급업체의 합법적인 송장에서 일반적으로 발견되는 상세한 설명 및 항목화가 부족합니다.
이메일 헤더, 메타데이터 또는 디지털 서명이 IT 보안 팀에 이메일을 전달할 때 유효하지 않게 나타나거나, 일반적으로 공급업체 통신을 받는 특정 지급 담당 담당자가 아닌 일반 회사 이메일 주소로 전송된 요청입니다.

자신을 보호하는 법

SPF(발신자 정책 프레임워크), DKIM(DomainKeys 식별 메일) 및 DMARC(도메인 기반 메시지 인증, 보고 및 적합성)를 포함한 이메일 인증 프로토콜을 구현하여 공급업체 또는 내부 주소로부터의 위조된 이메일을 탐지하고 플래그합니다.
재무 직원이 결제 변경 요청, 새로운 공급업체 온보딩 또는 계정 리다이렉션을 처리하기 전에 공식 회사 웹사이트 또는 이전 송장의 전화번호를 사용하여 공급업체에 직접 연락하도록 요구하는 필수 검증 프로토콜을 수립합니다.
승인된 공급업체 목록, 결제 계좌 및 연락처 정보를 보안 시스템에 중앙화하는 공급업체 관리 소프트웨어를 사용하여 변경사항이 기록되기 전에 다중 수준 승인이 필요합니다.
지급 담당 및 재무 직원에게 피싱 인식, 이메일 검증 기술 및 결제를 처리하기 전에 의심스러운 통신을 플래그하는 절차를 포함하여 공급업체 사칭 전술에 대해 분기별로 교육합니다.
새로운 공급업체, 임계값을 초과하는 송금(회사 규모에 따라 일반적으로 5,000달러~50,000달러), 또는 결제 방법 변경에 대해 이중 승인 요구사항을 구현하며, 다른 부서 또는 관리자의 보조 승인을 받습니다.
새 계좌로의 결제, 국제 은행으로의 송금 또는 일반적인 범위를 크게 벗어나는 송장 금액을 포함하여 비정상적인 활동에 대해 은행 계좌 및 회계 소프트웨어를 모니터링하고, 처리 후 24시간 이내에 플래그된 거래를 검토합니다.

실제 사례

제조 회사가 연 계약액 약 30만 달러를 처리하는 주요 전자 부품 공급업체로부터 온 것으로 보이는 이메일을 받았습니다. 지급 담당 관리자에게 전송된 이 이메일은 합법적인 프로젝트와 관련된 긴급 송장 47,500달러를 참조했으며 최근 은행 통합으로 인한 '새 계좌'로의 결제를 요청했습니다. 이메일에는 합법적인 이전 거래에서 복사한 실제 회사 로고와 송장 형식이 포함되어 있었습니다. 36시간 이내에 결제가 싱가포르의 은행 계좌로 송금 방식으로 처리되었습니다. 실제 공급업체는 14일 후 송장을 보낸 적이 없음을 확인했습니다. 그때쯤 자금은 인출되었고 원본 계좌는 폐쇄되었습니다.

150명의 직원을 둔 전문 서비스 회사가 합법적인 이전 거래에서 발견된 실제 송장 형식으로 복사된 것처럼 보이는 IT 인프라 제공자로부터 온 것으로 보이는 총 89,000달러의 여러 송장을 받았습니다. 하나의 송장은 회사가 경험한 알려진 정전 중에 긴급 서버 유지 보수 비용인 것으로 추정되었습니다. 이메일은 '[email protected]'에서 왔습니다(실제 회사는 '[email protected]' 사용). 8일에 걸쳐 3개의 별도 송장이 처리되었다가, 실제 공급업체가 최근에 완료한 합법적인 서비스에 대해 결제받지 못한 이유를 문의했을 때 적발되었습니다. 사기꾼은 회사의 이메일 보안 문제를 3주간 모니터링했으며 정확한 정전 시간을 알고 있었습니다.

신고 채널 — 대한민국

귀하의 지역에서 이 사기를 신고할 수 있는 공식 채널.

경찰청 사이버범죄 신고시스템 (ECRM)

사이버 범죄

경찰청 사이버수사 신고. 보이스피싱·해킹·온라인사기 통합 접수.

182 방문 →

한국인터넷진흥원 KISA 118

개인정보 침해, 스팸, 해킹 등 종합상담 (24시간).

118 방문 →

금융감독원 1332

금융 감독

보이스피싱·금융사기 신고 및 피해구제 상담.

1332 방문 →

한국소비자원

소비자 보호

소비자 피해 상담 및 분쟁조정.

1372 방문 →

이 사기를 의심하시나요?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), 공급업체 사칭 사기: 비즈니스 보호 방법 is described at https://scamlens.org/ko/encyclopedia/vendor-impersonation.

https://scamlens.org/ko/encyclopedia/vendor-impersonation

여기서 시작

안전 검사

인텔리전스

도구 및 보고서

프리미엄 서비스

확장 프로그램 및 API