How do scammers get so much detail about my company's vendors and invoicing?

Scammers obtain this information through multiple sources: data breaches of vendor databases that include customer lists and transaction details, compromised employee emails shared on dark web marketplaces, LinkedIn research on your finance staff and company structure, publicly available information from regulatory filings or company websites, and social engineering calls to vendors posing as your employees. Many successful scammers conduct 2-4 weeks of reconnaissance before launching the attack.

What should I do if I've already paid a vendor impersonation invoice?

Contact your bank or wire transfer service immediately and report the fraud—many banks can halt outgoing transfers if reported within 24 hours. Simultaneously notify your actual vendor, your IT security team, law enforcement (FBI at ic3.gov), and your cybersecurity insurance provider if you have a policy. Preserve all email evidence, including headers and metadata, to support recovery efforts and help law enforcement investigations. Recovery is difficult after funds clear, but reporting within hours significantly improves the chance of intercepting the transfer.

How can I verify a vendor's payment information without offending them?

Use a standardized verification process that applies to all vendors equally, so no single vendor feels targeted. Call vendors using the phone number from your previous invoices or their official website, never numbers provided in the suspicious email. You can simply say: 'We received an invoice requesting a payment method change. Before processing, I'm verifying this through our standard security procedure. Can you confirm your current banking information matches [the details from the email]?' Legitimate vendors expect and respect this verification.

What's the difference between vendor impersonation and business email compromise (BEC)?

Vendor impersonation is a specific type of BEC scam where the fraudster impersonates an external vendor rather than pretending to be an executive within your own company. BEC encompasses a broader category of business email fraud, including CEO fraud (impersonating executives), lawyer scams (impersonating legal counsel), and government impersonation. However, the protection strategies are similar: verify through independent channels, require multi-approval for payment changes, and implement email authentication.

If my company falls victim to a vendor impersonation scam, what are my legal obligations?

You should report the fraud to the FBI's Internet Crime Complaint Center (ic3.gov) and potentially local law enforcement, as this supports broader fraud investigations. You may be required to notify customers if the fraud involves their data (depending on state breach notification laws). Inform your bank, cybersecurity insurance carrier, and auditors immediately. While the company that fell victim typically bears the loss unless the bank was negligent in processing a clearly fraudulent transfer, early reporting and documentation improve the chance of recovery and may support insurance claims. Consult with your legal counsel regarding notification obligations specific to your state and industry.

Alto risco Perda média: $20,000 Duração típica: 1-14 days

Golpes de Falsificação de Fornecedores: Proteja seu Negócio

Os golpes de falsificação de fornecedores ocorrem quando fraudadores pesquisam os fornecedores legítimos de uma empresa e criam faturas fraudulentas, e-mails ou comunicações que parecem vir desses fornecedores. O criminoso geralmente visa departamentos de contas a pagar ou equipes de finanças, explorando a natureza rotineira dos pagamentos a fornecedores e a urgência das operações comerciais. De acordo com o relatório do Centro de Reclamações de Crimes na Internet (IC3) do FBI de 2023, os golpes de Comprometimento de Email Comercial (BEC) — que frequentemente envolvem falsificação de fornecedores — resultaram em perdas superiores a 2,7 bilhões de dólares naquele ano, com incidentes individuais variando de 20 mil a 150 mil dólares para empresas maiores. Pequenas e médias empresas são particularmente vulneráveis porque podem não ter sistemas sofisticados de autenticação de email e protocolos de verificação de pagamento que corporações maiores implementam. Esses golpes evoluíram significativamente desde que surgiram em meados de 2010. As versões iniciais confiavam em falsificação de email rudimentar, mas os ataques modernos de falsificação de fornecedores agora incorporam conhecimento detalhado das operações da empresa, nomes de fornecedores legítimos, termos de pagamento precisos e até mesmo papéis timbrados e logos replicados. Criminosos frequentemente realizam semanas de reconhecimento, monitorando as comunicações por email de uma empresa e relacionamentos com fornecedores por meio de violações de dados, engenharia social ou pesquisa no LinkedIn. O tempo médio do contato inicial ao pagamento fraudulento é apenas de 1 a 14 dias, criando uma janela estreita para detecção antes que os fundos sejam transferidos para contas no exterior que se tornam praticamente rastreáveis. O perigo vai além da perda financeira imediata. Os golpes de falsificação de fornecedores podem danificar relacionamentos comerciais com fornecedores legítimos, criar discrepâncias contábeis que desencadeiam auditorias, expor empresas a responsabilidade legal se não conseguirem detectar fraude e minar a confiança dentro dos departamentos de finanças. O redirecionamento é comum — criminosos frequentemente voltam a empresas comprometidas com sucesso com novos esquemas, e negócios que caem vítima uma vez enfrentam risco 20-30% maior de ataques repetidos nos 12 meses seguintes.

Táticas comuns Como identificar Como se proteger Casos reais Onde denunciar

Táticas comuns

• Enviar faturas com endereços de email levemente alterados (por exemplo, [email protected] em vez do domínio corporativo legítimo) ou usar nomes de domínio que imitam de perto a URL do fornecedor real, como alterar 'fornecedor.com' para 'forencedor.com' ou 'fornecedor-inc.com'.
• Solicitar redirecionamento urgente de pagamento devido a 'mudanças de conta bancária', 'atualizações de sistema', 'questões de conformidade fiscal' ou 'atividades de fusão/aquisição' que criam pressão de tempo e contornam procedimentos normais de verificação.
• Replicar comunicações legítimas de fornecedores copiando formatos reais de faturas, termos de pagamento, números de ordens de compra e preços de transações anteriores descobertas por meio de violações de email ou engenharia social.
• Direcionar funcionários específicos por meio de e-mails de phishing direcionado que fazem referência a projetos reais, prazos ou executivos pelo nome, tornando a comunicação autêntica e urgente.
• Usar métodos de pagamento legítimos como transferências ACH ou transferências bancárias para contas em nome do fornecedor, mas localizadas em diferentes países, tornando a recuperação extremamente difícil após a compensação dos fundos.
• Fazer seguimento com múltiplos e-mails de lembrete ou chamadas de linhas falsas de suporte ao fornecedor, escalando pressão e urgência enquanto respondendo perguntas sobre a fatura falsa com detalhes surpreendentemente precisos sobre as operações da empresa.

Como identificar

Pedidos de fatura com valores significativamente maiores que os pagamentos típicos ao fornecedor, ou solicitações para pagar múltiplas faturas de uma vez que diferem dos padrões ou frequência normais de faturamento do fornecedor.
Endereços de email ou nomes de domínio quase idênticos aos fornecedores legítimos, mas contendo erros ortográficos sutis, extensões diferentes (.net em vez de .com), ou usando serviços de email gratuitos em vez de domínios corporativos.
Solicitações repentinas para alterar métodos de pagamento, adicionar novos beneficiários à sua lista de fornecedores aprovados, ou redirecionar pagamentos para novas contas bancárias sem acompanhamento de papel timbrado oficial, ordens de compra ou aprovação de múltiplas partes do fornecedor.
Comunicações que criam urgência artificial citando prazos apertados, janelas de manutenção do sistema ou oportunidades de pagamento único, especialmente quando contornam seus fluxos de trabalho de procurement estabelecidos.
Valores de fatura que não correspondem aos valores históricos de transação com aquele fornecedor, incluem itens de linha inusitados ou carecem de descrições e discriminação detalhadas normalmente encontradas nas faturas legítimas daquele fornecedor.
Cabeçalhos de email, metadados ou assinaturas digitais que parecem inválidos quando você encaminha e-mails para sua equipe de segurança de TI, ou solicitações enviadas para endereços genéricos de email da empresa em vez da pessoa de contato específica de contas a pagar que normalmente recebe comunicações de fornecedores.

Como se proteger

Implementar protocolos de autenticação de email incluindo SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting and Conformance) para detectar e sinalizar e-mails falsificados de fornecedores ou endereços internos.
Estabelecer um protocolo de verificação obrigatório exigindo que a equipe de finanças contate fornecedores diretamente usando números de telefone de sites oficiais da empresa ou faturas anteriores antes de processar qualquer solicitação de mudança de pagamento, integração de novo fornecedor ou redirecionamento de conta.
Usar software de gerenciamento de fornecedores que centralize listas de fornecedores aprovados, contas de pagamento e informações de contato em um sistema seguro que exija autorização de múltiplos níveis antes que qualquer alteração seja registrada.
Treinar pessoal de contas a pagar e finanças trimestralmente em táticas de falsificação de fornecedores, incluindo reconhecimento de phishing, técnicas de verificação de email e procedimentos para sinalizar comunicações suspeitas sem processar pagamentos primeiro.
Implementar requisitos de aprovação dupla para qualquer novo fornecedor, transferências bancárias acima de valores-limite (normalmente 5 mil a 50 mil reais dependendo do tamanho da empresa), ou mudanças de método de pagamento, com aprovação secundária de um departamento ou gerente diferente.
Monitorar contas bancárias e software de contabilidade para atividades incomuns incluindo pagamentos para novas contas, transferências para bancos internacionais ou valores de fatura significativamente fora dos intervalos normais, revisando transações sinalizadas dentro de 24 horas do processamento.

Casos reais

Uma empresa de manufatura recebeu um e-mail aparentemente vindo de seu principal fornecedor de eletrônicos (um fornecedor responsável por aproximadamente 300 mil reais em contratos anuais). O e-mail, enviado ao gerente de contas a pagar, fazia referência a uma fatura urgente de 47 mil e 500 reais relacionada a um projeto legítimo e solicitava pagamento para uma 'nova conta' devido a consolidação bancária recente. O e-mail incluía o logo real da empresa e formato de fatura copiado de transações legítimas anteriores. Dentro de 36 horas, o pagamento foi processado por transferência bancária para uma conta bancária em Singapura. O fornecedor real confirmou 14 dias depois que nunca enviou a fatura. Naquela época, os fundos já haviam sido sacados e a conta originadora estava fechada.

Uma empresa de serviços profissionais com 150 funcionários recebeu múltiplas faturas totalizando 89 mil reais do que parecia ser seu provedor de infraestrutura de TI, incluindo uma fatura supostamente para manutenção urgente de servidor durante uma interrupção conhecida que a empresa havia experimentado. O e-mail veio de '[email protected]' (a empresa real usa '[email protected]'). Três faturas separadas foram processadas durante 8 dias antes do fornecedor real questionar por que não tinha sido pago por serviços legítimos que havia realizado recentemente. O criminoso havia monitorado os problemas de segurança de email da empresa por três semanas e sabia sobre o tempo exato da interrupção.

Onde denunciar — Portugal / Brasil

Canais oficiais na sua região para denunciar este golpe.

Polícia Judiciária - Cibercrime (Portugal)

Cibercrime

Gabinete Cibercrime do Ministério Público — denúncias online.

Visitar →

CERT.PT (Portugal)

Denúncia

Centro Nacional de Cibersegurança — incidentes cibernéticos.

Visitar →

Polícia Federal - DENARC (Brasil)

Cibercrime

Canal de denúncia da Polícia Federal brasileira.

197 Visitar →

PROCON (Brasil)

Defesa do consumidor

Procon — defesa do consumidor (telefone varia por estado).

151 Visitar →

Acha que encontrou este golpe?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), golpes de falsificação de fornecedores: proteja seu negócio is described at https://scamlens.org/pt/encyclopedia/vendor-impersonation.

https://scamlens.org/pt/encyclopedia/vendor-impersonation

Comece aqui

Verificação de Segurança

Inteligência

Ferramentas e Relatórios

Serviços Premium

Extensão e API