How do scammers get so much detail about my company's vendors and invoicing?

Scammers obtain this information through multiple sources: data breaches of vendor databases that include customer lists and transaction details, compromised employee emails shared on dark web marketplaces, LinkedIn research on your finance staff and company structure, publicly available information from regulatory filings or company websites, and social engineering calls to vendors posing as your employees. Many successful scammers conduct 2-4 weeks of reconnaissance before launching the attack.

What should I do if I've already paid a vendor impersonation invoice?

Contact your bank or wire transfer service immediately and report the fraud—many banks can halt outgoing transfers if reported within 24 hours. Simultaneously notify your actual vendor, your IT security team, law enforcement (FBI at ic3.gov), and your cybersecurity insurance provider if you have a policy. Preserve all email evidence, including headers and metadata, to support recovery efforts and help law enforcement investigations. Recovery is difficult after funds clear, but reporting within hours significantly improves the chance of intercepting the transfer.

How can I verify a vendor's payment information without offending them?

Use a standardized verification process that applies to all vendors equally, so no single vendor feels targeted. Call vendors using the phone number from your previous invoices or their official website, never numbers provided in the suspicious email. You can simply say: 'We received an invoice requesting a payment method change. Before processing, I'm verifying this through our standard security procedure. Can you confirm your current banking information matches [the details from the email]?' Legitimate vendors expect and respect this verification.

What's the difference between vendor impersonation and business email compromise (BEC)?

Vendor impersonation is a specific type of BEC scam where the fraudster impersonates an external vendor rather than pretending to be an executive within your own company. BEC encompasses a broader category of business email fraud, including CEO fraud (impersonating executives), lawyer scams (impersonating legal counsel), and government impersonation. However, the protection strategies are similar: verify through independent channels, require multi-approval for payment changes, and implement email authentication.

If my company falls victim to a vendor impersonation scam, what are my legal obligations?

You should report the fraud to the FBI's Internet Crime Complaint Center (ic3.gov) and potentially local law enforcement, as this supports broader fraud investigations. You may be required to notify customers if the fraud involves their data (depending on state breach notification laws). Inform your bank, cybersecurity insurance carrier, and auditors immediately. While the company that fell victim typically bears the loss unless the bank was negligent in processing a clearly fraudulent transfer, early reporting and documentation improve the chance of recovery and may support insurance claims. Consult with your legal counsel regarding notification obligations specific to your state and industry.

高风险平均损失: $20,000 持续时间: 1-14 days

供应商冒充诈骗：保护您的业务

供应商冒充诈骗发生在诈骗分子研究公司合法供应商，然后创建看似来自这些供应商的虚假发票、电子邮件或通信时。诈骗者通常针对应付账款部门或财务团队，利用供应商付款的日常性质和业务运营的紧急性。根据美国联邦调查局2023年互联网犯罪投诉中心(IC3)报告，商业电子邮件泄露(BEC)诈骗——通常涉及供应商冒充——造成超过27亿美元的损失，对大型企业而言，单个事件平均损失在2万至15万美元之间。中小型企业特别容易受害，因为他们可能缺乏大型公司实施的复杂电子邮件身份验证系统和付款验证协议。这些诈骗自2010年代中期出现以来已经显著演变。早期版本依赖于粗糙的电子邮件欺骗，但现代供应商冒充攻击现在包含对公司运营、合法供应商名称、准确付款条款的详细了解，甚至复制公司的信笺和徽标。诈骗者通常在发起攻击前进行数周的侦察，通过数据泄露、社会工程或LinkedIn研究来监控公司的电子邮件通信和供应商关系。从初次接触到欺诈付款的平均时间仅为1-14天，给检测留下了狭窄的窗口，然后资金被转移到几乎无法追踪的离岸账户。风险超出了直接经济损失。供应商冒充诈骗可能损害与合法供应商的业务关系，造成会计差异引发审计，使公司面临如果未能检测欺诈的法律责任，并削弱财务部门内的信任。重复攻击很常见——诈骗者经常用新方案回到已被成功破坏的公司，而曾经受害的企业在随后的12个月内再次受到攻击的风险高20-30%。

常见手法如何识别如何保护自己真实案例常见问题

常见手法

• 发送地址略微改变的发票（例如，[email protected]而不是合法的公司域名），或使用与真实供应商URL非常相似的域名，例如将'supplier.com'改为'suppIier.com'或'supplier-inc.com'。
• 因'银行账户变更'、'系统更新'、'税务合规问题'或'并购活动'而要求紧急付款重定向，这会造成时间压力并绕过正常的验证程序。
• 通过复制实际发票格式、付款条款、采购订单编号和从电子邮件泄露或社会工程中发现的先前交易定价，复制合法供应商的通信。
• 通过引用真实项目、截止日期或按名称引用高管的钓鱼邮件来针对特定员工，使通信显得真实且时间紧急。
• 使用ACH转账或电汇等合法付款方式转至以供应商名义但位于不同国家的银行账户，使资金清算后的追回极其困难。
• 跟进多个提醒电子邮件或来自虚假供应商支持热线的电话，升级压力和紧迫性，同时以对公司运营的惊人准确性来回答有关虚假发票的问题。

如何识别

发票请求金额明显高于典型供应商付款，或请求一次性支付多个发票，这与供应商的正常账单模式或频率不符。
电子邮件地址或域名与合法供应商几乎相同，但包含细微拼写错误、不同的扩展名（.net而非.com），或使用免费电子邮件服务而非公司域名。
突然要求更改付款方式、将新收款人添加到批准的供应商列表中，或将付款重定向到新银行账户，但没有附带官方信笺、采购订单或供应商的多方批准。
通过引用紧密的截止日期、系统维护窗口或一次性付款机会来造成人为紧迫感的通信，尤其是当它们绕过您既定的采购工作流程时。
发票金额与该供应商历史交易金额不符、包含异常的线项目或缺少该供应商合法发票中通常找到的详细描述和细目。
当您将电子邮件转发给IT安全团队时，电子邮件头、元数据或数字签名显示无效，或请求发送至通用公司电子邮件地址而非通常接收供应商通信的特定应付账款联系人。

如何保护自己

实施电子邮件身份验证协议，包括SPF(发件人策略框架)、DKIM(DomainKeys识别邮件)和DMARC(基于域的消息身份验证、报告和一致性)，以检测和标记来自供应商或内部地址的欺骗电子邮件。
建立强制性验证协议，要求财务人员在处理任何付款变更请求、新供应商上线或账户重定向前，使用官方公司网站或以前发票上的电话号码直接与供应商联系。
使用供应商管理软件，在安全系统中集中管理批准的供应商列表、付款账户和联系信息，在记录任何更改前需要多级授权。
每季度对应付账款和财务人员进行供应商冒充策略培训，包括钓鱼识别、电子邮件验证技术，以及在处理付款前标记可疑通信的程序。
对任何新供应商、超过阈值金额的电汇(通常为5000-50000美元，取决于公司规模)或付款方式更改实施双重批准要求，由不同部门或经理的二级批准人批准。
监控银行账户和会计软件中的异常活动，包括向新账户的付款、向国际银行的转账，或发票金额明显超出正常范围，在处理后24小时内审核标记的交易。

真实案例

一家制造公司收到一封看似来自其主要电子供应商(一家处理约30万美元年度合同的供应商)的电子邮件。该邮件发送给应付账款经理，涉及与合法项目相关的紧急4.75万美元发票，并请求向'新账户'付款，原因是最近的银行合并。电邮包含从合法先前交易中复制的实际公司徽标和发票格式。在36小时内，付款通过电汇转账到新加坡的一个银行账户。实际供应商在14天后确认他们从未发送过该发票。到那时，资金已被提取，源账户已关闭。

一家拥有150名员工的专业服务公司收到了多张发票，共计8.9万美元，看似来自其IT基础设施提供商，其中一张发票据称是为公司经历过的已知停机期间的紧急服务器维护。该电子邮件来自'[email protected]'(真实公司使用'[email protected]')。三张单独的发票在8天内被处理，然后实际供应商询问为什么他们最近完成的合法服务尚未收到付款。诈骗者监控了公司的电子邮件安全问题三周，并了解了确切的停机时间。

一家拥有45人的咨询公司的财务总监收到一个电话，声称来自其办公用品供应商，说明公司账户需要立即支付1.23万美元的逾期发票，否则其服务将被暂停。来电者引用了供应商客户数据库数据泄露中的准确订单编号和交货日期。财务总监感到压力并担心业务连续性，当天处理了付款。直到供应商三天后打来电话跟进合法发票时，才发现诈骗。诈骗者从暗网市场上购买了供应商泄露的客户数据，花费约400美元。

常见问题

诈骗者如何获得关于我公司供应商和开票的如此多的详细信息？

诈骗者通过多个渠道获取此信息：供应商数据库的数据泄露(包含客户列表和交易详情)、在暗网市场上共享的被破坏的员工电子邮件、对您财务人员和公司结构的LinkedIn研究、来自监管备案或公司网站的公开信息，以及冒充您员工的供应商社会工程电话。许多成功的诈骗者在发起攻击前进行2-4周的侦察。

如果我已经支付了供应商冒充发票，我应该怎么办？

立即联系您的银行或电汇服务并报告欺诈——如果在24小时内报告，许多银行可以中止传出转账。同时通知您的实际供应商、IT安全团队、执法部门(FBI网址ic3.gov)以及您的网络安全保险提供商(如果您有保单)。保存所有电子邮件证据，包括头和元数据，以支持追款工作并帮助执法部门调查。资金清算后追款很困难，但在数小时内报告会显著提高拦截转账的机会。

我如何验证供应商的付款信息而不冒犯他们？

使用适用于所有供应商的标准化验证流程，这样没有单个供应商会感到被针对。使用您之前发票或其官方网站上的电话号码调用供应商，从不使用可疑电子邮件中提供的号码。您可以简单地说：'我们收到了一份要求付款方式更改的发票。在处理前，我通过我们的标准安全程序验证此事。您能确认您当前的银行信息与[电子邮件中的详细信息]相符吗？'合法的供应商期望并尊重此验证。

供应商冒充和商业电子邮件泄露(BEC)之间有什么区别？

供应商冒充是一种特定类型的BEC诈骗，诈骗者冒充外部供应商，而不是假装是您自己公司内的高管。BEC涵盖更广泛的商业电子邮件欺诈类别，包括首席执行官欺诈(冒充高管)、律师诈骗(冒充法律顾问)和政府冒充。然而，保护策略是相似的：通过独立渠道验证、要求多方批准付款变更，并实施电子邮件身份验证。

如果我的公司成为供应商冒充诈骗的受害者，我的法律义务是什么？

您应向FBI的互联网犯罪投诉中心(ic3.gov)和可能的当地执法部门报告欺诈，因为这支持更广泛的欺诈调查。如果欺诈涉及客户数据，您可能需要通知客户(取决于州数据泄露通知法)。立即通知您的银行、网络安全保险承保人和审计师。虽然遭受欺诈的公司通常承担损失，除非银行在处理明显欺诈转账时过失，但早期报告和文件记录会改善追款机会，并可能支持保险索赔。请咨询您的法律顾问，了解特定于您州和行业的通知义务。

按线索进入

安全检测

威胁情报

工具与举报

高级服务

扩展与 API