为什么支付欺诈是每家企业都面临的问题
想象一下,您的应付账款团队收到了一封电子邮件。它的外观与长期合作供应商的邮件完全一致:相同的徽标、相同的落款、以及同样熟悉的语气。邮件声称供应商的银行账户信息已更改,并要求您将下一笔款项汇入新账户。付款完成了。一周后,真正的供应商打来电话,询问发票为何逾期。而此时,资金早已不知去向。
这并非虚构的情景。世界各地的企业每天都在发生这样的事情。
支付欺诈不仅影响银行或投资公司。它影响着每一家需要向供应商付款、结算发票或接收客户付款的公司。而应对这一问题的最实用工具之一就是 LEI 编码,这是大多数普通企业从未听说过的东西。
支付欺诈的规模惊人
支付欺诈并非边缘问题。根据 金融专业人士协会 (AFP) 的数据,76% 的机构在 2025 年经历过未遂或既遂的支付欺诈。这意味着在任何特定年份,每三家企业中就有两家会遇到欺诈企图。
这些攻击精准针对处理日常发票和付款的人员:会计、财务经理和采购人员。根据 FBI 2024 年互联网犯罪报告,仅在 2024 年,商务电子邮件入侵 (BEC) 就在美国造成了 27.7 亿美元的损失,涉及 21,442 起报告案件。而这些仅仅是已报案的情况。
支付欺诈的运作方式:三种常见手段
所有形式的支付欺诈都有一个共同的潜在条件:欺诈者之所以能得逞,是因为受害者无法快速验证交易对手的身份。
发票欺诈与供应商冒充
欺诈者识别出您网络中的一家常规供应商,并发送一份与真实发票一模一样的发票。唯独银行账户信息不同。在许多情况下,欺诈者甚至不需要系统访问权限。公开信息、一个类似的电子邮件地址以及一些耐心就足够了。小企业尤其容易受到攻击,因为它们往往缺乏正式的验证步骤。
商务电子邮件入侵 (BEC)
商务电子邮件入侵(简称 BEC)更为复杂,破坏性也更大。欺诈者获得您供应商电子邮件账户的访问权限,监控通信数周,并在大额发票到期前的精准时刻介入。仅更改付款详情,资金便流向了错误的账户。
此类欺诈难以察觉的原因在于,邮件来自真实的电子邮箱地址,遵循真实的对话脉络,且不含任何技术性的欺诈迹象。标准的电子邮件安全过滤器无法拦截它。
虚假供应商创建
欺诈者创建一个虚构的公司,进行注册,建立网站并提交提案。企业签署合同并支付预付款后,供应商便消失了。这种手段往往针对采购流程更为复杂的大型机构。
在这三种情况下,受害者都无法可靠地验证其实际交易对象。公司名称并非唯一的标识符,欺诈者正是利用了这一漏洞。
为什么身份验证如此困难
注册号码具有司法管辖区局限性。爱沙尼亚的企业注册号对德国银行或新加坡合作伙伴来说毫无意义。每个国家都使用自己的格式、注册机构和语言。在跨境业务中,这意味着验证交易对手的身份需要缓慢的人工操作。
公司名称并非唯一。许多司法管辖区允许在不同国家使用相似甚至相同的名称。欺诈者注册名称与知名机构极其相似的公司,并利用忙碌的财务团队可能不会注意到细微差别这一事实行骗。
LEI 编码实际显示的内容
LEI 编码(即法律实体识别码)是一个由 20 位字符组成的唯一标识符,世界上任何法律实体都可以获得。全球法律实体识别码基金会 (GLEIF) 维护着一个公共数据库,其中包含每个注册实体的经过验证且最新的信息。
LEI 查询会返回以下信息:
一级数据(“谁是谁”): 法定名称、注册地址、国家和司法管辖区、企业注册号及注册机构、实体类型、LEI 状态(活跃或失效)以及记录变更历史。
二级数据(“谁拥有谁”): 企业结构中的直接母实体和最终母实体。
LEI 查询不显示的内容:银行账户详情、联系电话或自然人。了解这一点对于正确使用该工具至关重要。
LEI 数据库是免费、开放且无需注册的。您可以通过 GLEIF LEI 查询 获取。
LEI 在实践中如何防范欺诈
人工验证三步走
第 1 步 —— 向任何新供应商索取 LEI 编码。 在您的供应商准入流程中增加一个字段:LEI 编码。这是 交易对手尽职调查 的标准组成部分,现在越来越多的企业已将其作为常规操作。
第 2 步 —— 在 GLEIF 数据库中验证编码。 在 GLEIF LEI 查询 中输入 LEI 编码,或使用我们网站上的 LEI 查询工具。您将立即看到法定名称、注册地址和企业注册号。将这些信息与发票或合同上的信息进行比对。如果完全吻合,则身份确认无误。如果不匹配,则是明确的警示信号。
请同时关注 LEI 状态。“有效”(Active)表示数据为最新且已通过验证。“失效”(Lapsed)则表示该实体未续展其 LEI,且数据的准确性无法确定。LEI 失效本身就是一个不容忽视的风险信号。
第 3 步 —— 将任何银行详情的变更视为一个双重验证过程。 LEI 不显示银行账户信息,因此在这种情况下它不能完全取代人工核查。但它仍有帮助。如果您收到更改付款详情的请求,请首先通过 LEI 验证发送者是否为其声称的身份。然后,使用您记录中已有的联系电话直接致电供应商,而不是使用新邮件中提供的电话。这两个步骤结合起来可以涵盖最常见的发票欺诈场景。
大型机构的自动化验证
对于管理数百家供应商并处理大量付款的大型机构来说,人工核查速度太慢。这正是 LEI 特别有价值的地方,因为它是一种结构化的、机器可读的数据格式。
GLEIF 提供公共 API,允许将 LEI 数据直接集成到企业软件中。应付账款平台或供应商管理系统可以自动为每个新交易对手查询 GLEIF 数据库,将结果与现有记录进行比对,并将任何差异标记出来供人工审核。身份验证在后台运行,无需任何人手动搜索。
监管框架中的 LEI
LEI 编码不仅是一个自愿性工具。世界各地的监管机构已开始将其与支付安全和欺诈预防直接挂钩。
自 2025 年 10 月起,欧盟即时支付条例要求所有欧元区支付服务提供商在处理即时转账前验证收款人姓名。该条例承认 LEI 是将 IBAN 与账户持有人姓名进行自动匹配的工具。这直接降低了授权推送付款 (APP) 欺诈的风险,即资金被发送到由欺诈者控制的账户。有关此方面的更多详情,请参阅我们关于 LEI 与收款人验证 的文章。
金融行动特别工作组 (FATF) 于 2025 年 6 月更新了其国际支付透明度标准(第 16 号建议)。根据修订后的标准,超过 1,000 欧元或美元的跨境支付必须包含有关汇款人和受益人的经过验证的信息。当当事人为法律实体时,LEI 是被认可的标识符之一。该标准将于 2030 年全面生效。
您的企业今天可以做些什么
为您的公司获取 LEI 编码。 拥有 LEI 后,您可以与合作伙伴共享经过验证的标识符,将其包含在发票和合同中,并将其作为证明您企业身份的证据。这在跨境交易中最为重要,因为您的交易对手可能不熟悉您当地的企业注册机构。注册仅需几分钟,LEI 几乎会立即签发:注册您的 LEI 编码。
要求您的供应商提供 LEI。 在您的供应商准入流程中增加一个字段。验证是免费的,且仅需几秒钟。如果数据匹配,您就得到了确认。如果不匹配,您就有理由在付款前提出疑问。
实施银行详情变更规则。 任何更改付款详情的请求都应要求两次确认:LEI 核查和拨打您记录中已有的联系电话。这一条规则就能防止大多数经典的发票欺诈案件。
在发票上注明您的 LEI。 这有助于您的合作伙伴验证您的身份,并表明您的企业非常重视透明度。
总结
大多数支付欺诈之所以成功,是因为交易对手的身份难以快速、可靠地验证。LEI 编码解决了一个非常具体且常见的弱点:单一的全球唯一、可公开验证的标识符使欺诈行为显著增加。小企业可以在几秒钟内手动完成核查,而大型机构则可以实现流程完全自动化。
如果您的企业还没有 LEI 编码,获取一个编码是您今天可以采取的提高支付安全性的最简单步骤:注册您的 LEI 编码。
如果您的 LEI 编码需要续费,可以在此处办理:续费您的 LEI 编码。