如何验证从未见过的供应商
By the Reevol Source editorial team · Updated 2026-04-18
如何验证你从未见过的供应商
TL;DR: 首次进口商平均每次欺诈事件损失15,000美元至50,000美元,国际商会估计贸易欺诈占中国商业纠纷案件的约80%。在发送任何RFQ之前,你可以通过八项免费或低成本的检查消除90%的风险交易对手:商业执照查询、数字足迹取证、LinkedIn员工数交叉参考、第三方审计报告、现场视频巡查、参考电话、样品订单和文件认证。本指南为每一步提供了确切的数据库、决策规则和警示信号。每个供应商预算2至4小时,在所有八项检查通过之前,永远不要汇款定金。
为什么这很重要
国际商会商业犯罪服务部每年记录数千起供应商欺诈投诉,年收入在1000万美元以下的中小企业进口商是最大的受害者群体,因为他们很少拥有合规人员。典型的诈骗遵循一个模式:克隆网站镜像合法工厂,30%的定金进入香港壳牌账户,然后"供应商"消失。世界海关组织指出,2019年假冒和欺诈贸易流量达到约4640亿美元,小买家承担了不成比例的份额,因为损失少于100,000美元的案件很少被跨境起诉。
问题不仅仅是货币损失。一次失败的首次发货会产生次生成本:美国港口每天150至300美元的滞港费、海关扣押费和丧失零售货架位置。对于进口40,000美元集装箱的中小企业,欺诈或不称职的供应商造成的四周延迟可能会使该SKU的整个利润消失。下面的八项检查花费的时间少于谈判单个国际贸易术语条款。
按国家查询商业执照
每个合法出口商都持有政府颁发的注册,具有唯一标识符。如果供应商无法在被要求时提供此号码,请在5分钟内走开。
中国:18位USCC
中国企业拥有18字符的统一社会信用代码(USCC)。在国家企业信用信息公示系统(NECIPS)或私人聚合器企查查上免费验证。检查四个字段:注册资本(合法出口商通常显示500,000人民币或更高的实缴)、经营范围(必须明确包括你的产品类别,例如"纺织品制造")、成立日期(少于两年是黄色标志)、法定代表人名字(应与签署你合同的人相符)。中国国际贸易促进委员会2023年调查发现,31%的争议出口合同涉及其注册经营范围不包括出口商品的公司。
印度:CIN和IEC
印度出口商持有21字符的企业识别号(CIN),可在公司事务部门门户上搜索,以及来自对外贸易总局的10位数进出口代码(IEC)。交叉检查两者。IEC单独不是活跃贸易的证明:验证CIN状态显示"活跃",最后的年度申报在18个月内已提交。
越南、土耳其、孟加拉国
越南使用10位企业代码,可在国家企业注册门户(dangkykinhdoanh.gov.vn)上搜索。土耳其使用贸易登记公报上的MERSIS号码。孟加拉国出口商必须持有首席进出口监管员颁发的出口注册证(ERC)。对于每个国家,确认三件事:公司名称完全匹配(包括标点符号)、状态为"活跃"或等效状态、注册地址与形式发票上出现的地址相符。
| 国家 | 登记ID | 免费查询 | 验证的关键字段 |
|---|---|---|---|
| 中国 | 18位USCC | gsxt.gov.cn | 注册资本、经营范围、法定代表人 |
| 印度 | 21位CIN + 10位IEC | mca.gov.in | 状态、最后申报日期 |
| 越南 | 10位企业代码 | dangkykinhdoanh.gov.vn | 状态、注册地址 |
| 土耳其 | MERSIS号码 | ticaretsicil.gov.tr | 资本、活动代码 |
| 孟加拉国 | ERC号码 | ccie.gov.bd | 证书有效性 |
| 巴基斯坦 | NTN + STRN | fbr.gov.pk | 活跃纳税人身份 |
| 印度尼西亚 | NIB(13位) | oss.go.id | KBLI代码匹配 |
决策规则:如果注册经营范围以简洁明了的方式不列出你的产品类别,你在与贸易商而非制造商交谈。这不一定是不可接受的,但它改变了你的利润预期和尽职调查深度。
数字足迹信号:MX、域名年龄、SSL
一家声称已经发货十年但在三周前注册域名的工厂不是它声称的样子。三项免费检查耗时不超过十分钟。
通过WHOIS检查域名年龄
在whois.domaintools.com或ICANN查询中运行供应商的域名。合法制造商通常拥有五年或更久的域名。创建日期少于12个月但声称"在业务中有20年"是直接矛盾。在中英工商总会2022年编制的200份供应商欺诈报告样本中,68%的欺诈交易对手使用少于18个月的域名。
MX记录告诉你关于电子邮件基础设施
使用mxtoolbox.com拉取MX(邮件交换)记录。三种模式:
- Google Workspace或Microsoft 365(aspmx.l.google.com、outlook.com):专业设置,适度正面信号。
- 中国企业邮箱(qiye.aliyun.com、exmail.qq.com、163.com托管):对中国供应商正常,中立。
- 无MX记录,或MX指向免费网络邮件,而网站使用付费域名:红色警告。这意味着"sales@company.com"地址可能转发到Gmail或163收件箱,没有审计跟踪。
如果供应商从@gmail.com、@hotmail.com或@163.com给你发邮件,同时声称自己是注册公司,请问为什么。具有USCC的合法工厂几乎总是有企业邮件服务器,因为中国税务当局鼓励它,Alibaba金牌供应商身份需要它。
SSL证书年龄
点击浏览器中的挂锁,查看证书,检查"有效期从"日期。在声称十年运营的域名上两周前发布的Let's Encrypt证书是不一致的。与域名的WHOIS创建日期交叉参考。如果SSL首次在2024年颁发,WHOIS显示2024年创建,业务可能比网站文本所示更新。使用crt.sh为域名拉取完整的证书历史记录,该记录显示发布的每个SSL。
决策规则:如果域名年龄少于12个月,或MX记录指向免费网络邮件,在继续之前需要第二层验证(与店铺地板全景的视频通话,或第三方审计)。
LinkedIn员工数交叉检查
供应商经常在其网站上声称"300名员工",而他们的LinkedIn页面列出11名。两个数字都可能是错误的,但差距的方向很重要。
如何运行检查
在LinkedIn上以其确切的注册英文名称搜索公司。注意公司页面上的"关联成员"计数。按位置过滤员工:一家声称在东莞的工厂,LinkedIn员工中80%位于深圳或海外,可能是没有生产能力的贸易办公室。
交叉检查三个数据点:供应商的声称员工数、LinkedIn成员数和Alibaba或Made-in-China店铺员工数。考虑到中国工厂员工很少使用LinkedIn的事实,真正的200人工厂可能只显示15至30个LinkedIn档案(主要是销售和管理)。警告信号是相反的情况:一家声称500名员工的供应商显示4个LinkedIn档案,都是"销售经理"职位,没有工程、QC或生产角色。
职位比数字更重要
扫描员工职位。真正的制造商显示混合:生产经理、QC检验员、机械工程师、物流协调员、采购经理。伪装成工厂的贸易公司仅显示销售、业务发展和对外贸易职位。对于声称ISO 9001认证的工厂,你应该在LinkedIn上看到至少一名质量经理或QA工程师。
决策规则:如果LinkedIn为声称员工超过100人的供应商显示少于5个非销售角色,假设为贸易商直到被证明否则。直接问他们:"你是制造商还是采购代理?"贸易商不是交易终结者,但你应该知道5%至15%的利润被分层在顶部来协商定价。
第三方审计报告:BSCI、SMETA、ISO 9001
要求审计报告将认真的出口商与机会主义者分开。根据Sedex,全球有超过85,000个站点持有活跃的SMETA审计,任何向欧盟或美国零售连锁供应的工厂几乎肯定有一个。
每项审计实际涵盖的内容
- ISO 9001:2015:质量管理体系。涵盖文件控制、纠正措施、内部审计。不验证产品质量或道德劳动。证书由SGS、TÜV、Bureau Veritas、Intertek等机构颁发。有效期三年,年度监督。
- BSCI(amfori商业社会合规倡议):社会和劳动审计。等级A至E。接受A或B,质疑C,拒绝D或E。
- SMETA(Sedex成员道德贸易审计):2支柱(劳动+健康/安全)或4支柱(增加环境+商业道德)。结果发布在Sedex平台上。请求CAPR(纠正措施计划报告)与审计一起,因为CAPR显示未解决的问题。
- ISO 14001:环境。如果你的买家在欧盟企业可持续发展报告指令下有ESG报告义务,则相关。
- SA8000:社会责任,比BSCI更严格,全球仅约4,500个认证站点。
如何验证证书
每个合法证书都有发行机构、证书号、发行日期、过期日期和范围声明。拍照证书并通过发行机构的公共数据库运行号码。SGS、Bureau Veritas、TÜV莱茵兰和Intertek都维护免费的在线验证门户。IFC对新兴市场供应商合规的2021年审查指出,在大约8%的买家主动验证中出现伪造的ISO证书,几乎总是因为买家从未检查该号码是否与发行机构的数据库相符。
关于范围的决策规则
仔细阅读范围声明。ISO 9001认证为"塑料注射成型件制造"的工厂不能合法使用该证书向你销售电子电路板。范围不匹配是最常见的审计报告欺骗。
视频工厂巡查与光泽照片
库存照片成本10美元。实时视频行走不能在短时间内被伪造。
安排实时非脚本通话
在供应商的工作时间内预订30分钟的视频通话(检查当地时间,因为"我们的工厂24/7运营"通常意味着一班制)。要求销售人员在实时中用他们的电话走遍设施。具体请求:
- 显示带公司招牌的入口,然后走向生产车间而不切断馈送。
- 平移机械,问操作员一个问题(销售代表实时翻译是正常的;预先录制的循环不能做到这一点)。
- 走向QC站,显示今天日期的在线检验记录。
- 展示带其他品牌标签商品的仓库(确认他们实际发货产品)。
- 在办公室结束,平移员工工作区域。
如果供应商拒绝实时视频、声称"公司政策禁止拍摄"或只能发送预先录制的剪辑,将其视为重大红色警告。真正的工厂每周进行巡查。典型的借口"老板今天不在"对一天来说是可以的;如果它在三次定时尝试中反复出现,请继续。
照片取证
对于供应商发送的照片,右键单击并运行Google反向图像搜索,或使用TinEye。欺诈供应商从竞争对手网站刮取图像。如果相同的工厂照片出现在14个不同的Alibaba店铺上,没有一个是真正的所有者。检查原始JPEG上的EXIF数据(不是PDF),查找捕获日期和GPS坐标。大多数供应商剥离EXIF,但当它保存时,它会告诉你照片何时何地拍摄。
参考电话:问什么、三个重要问题
每个供应商都会给你三个有光彩的参考。这些参考可能是真实客户、销售人员的表亲或另一名员工。你的工作是提取供应商无法指导的信息。
三个重要问题
问题1:"你与他们最后的订单出了什么问题,他们如何处理?"
每个真实客户都有投诉。一个说"一切都很完美"的参考要么在说谎,要么是新客户(少于一份订单),要么被事先告知。一个真实的客户会说类似"第三批发货时聚袋厚度错误,我们在港口发现,他们在下一个采购订单上给了我们信用额"的话。那个具体的答案在实时质询下几乎不可能捏造。
问题2:"你的付款条款是什么,你花了多长时间才能达成?"
付款条款揭示信任深度。一个五年的客户采用30%定金加70%发货前支付有浅层关系;采用收据后净30的客户是真正的战略伙伴。如果参考不能在10秒内描述他们的付款条款,他们实际上没有购买任何东西。
问题3:"你在工厂的日常联系人是谁,你能描述他们吗?"
要求名字、职位和个人细节(口音、沟通风格、他们是否使用WhatsApp或WeChat)。交叉检查与处理你查询的人。如果参考名字是你从未听说过的人,这可能意味着供应商有高销售人员流动率,或参考是假的。
其他战术提示
调用参考的主机总机号码(独立地通过他们的网站找到),而不是供应商给你的手机号码。按名字要求采购经理。这消除了给你表亲手机的假参考。总是间隔48小时分开两通参考电话:诈骗者协调第一天的答案但很少保持一致性。
样品订单作为最低成本的信任测试
样品订单是你拥有的最便宜的欺诈过滤器。预算100至500美元用于样品加50至150美元用于快递。如果供应商拒绝销售样品、要求5,000美元最小值或坚持100%电汇预付到个人账户,你得到了答案。
结构化样品订单以揭示能力
不要只订购一个单位。如果可能,订购三个单位到三个不同的规格(例如三种颜色、三种尺寸)。这测试他们是否实际能够生产变体或他们是否从其他人的库存进行代发。用具有恢复权的方法付款:信用卡、PayPal商品和服务或Alibaba贸易保障。永远不要电汇样品订单到个人香港账户。根据国际商会数据,一旦资金清算,中小企业贸易欺诈电汇恢复率低于5%。
到达时要测量的内容
检查配送标签:发件人名称是否与你在第一步验证的注册公司名称相符?一家声称"浙江精密工具有限公司"但从"王磊,义乌"发货的供应商使用个人转运人,这表明他们不是制造商。
称样品重量、测量尺寸并与报价的规格进行比较。注意包装质量、QC贴纸的存在、批号和产品内的任何手册或证书。向供应商要求样品的生产日期,并根据产品上的任何日期代码进行验证。
保留样品。物理样品是你在任何后期纠纷中的主要证据,海关当局在HS分类纠纷中会要求它们。样品成本也可从大多数供应商的首个批量订单中扣除,所以自付额下降到接近零。
文件陷阱:屏幕截图与原件、字体、水印
欺诈供应商很少从头开始发明文件;他们编辑真实的文件。四个具体迹象抓住80%的伪造品。
坚持原件,不是屏幕截图
合法的商业执照、审计证书或测试报告以原始PDF(直接来自发行机构)或高分辨率扫描的形式存在。在聊天应用中的文件屏幕截图几乎总是第二代或编辑的。请求元数据完整的原始PDF。在Adobe Reader中打开它并检查文件>属性,以获取创建日期、作者和生成软件。2024年ISO证书其PDF元数据显示"使用Photoshop创建"明显是修改的。
字体不一致
政府颁发的文件使用一致的字体。中国商业执照对中文文本使用SimSun或Kaiti,对拉丁字符使用Times New Roman。如果文件中的公司名称使用与周围文本不同的字体重量或间距,有人编辑了名称。放大至400%并查找关键字段周围的像素级污迹:公司名称、USCC、注册资本、有效期。
水印和印章验证
中国商业执照带有来自颁发市场监管管理部门的红色圆形印章(公章)。印章必须覆盖部分文件文本。一个完美干净的印章悬停在白色空间中已被粘贴。印度CIN、越南企业证书和土耳其MERSIS打印件都有发行当局的邮票或二维码。扫描二维码:它应该链接到公共注册表条目,不是供应商自己的网站。
日期连贯性
交叉检查所有文件中的每个日期。2023年3月的BSCI审计不能引用2024年6月发布的ISO 9001证书。显示2021年成立的商业执照不能支持供应商声称的"25年经验"。上个月开户银行开户信为声称数十年出口的公司表明要么一个新壳实体,要么重定向支付账户,这是经典的拦截欺诈设置。
200美元认证选项
对于高价值首次订单(超过50,000美元),支付150至400美元用于来自China Checkup、Asia Inspection(现为QIMA)或SGS等公司的第三方文件认证。他们在国内拉取主要源记录并在3至5个工作日内交付经过验证的报告。对于任何定金超过15,000美元的交易,这个成本是微不足道的保险。
要注意的红色警告
从八项检查整合而来,这些模式应该触发立即暂停:
- 用于公司付款的个人银行账户,尤其是不与注册实体国家相符的香港或离岸账户。国际商会贸易欺诈数据显示超过70%的损失涉及支付重定向到个人或壳账户。
- 电子邮件域名不匹配初始联系和后来的往来信函之间(例如,从@factory.com开始,在谈判中期切换到@factory-sales.com)。这是经典的商业电子邮件泄露劫持。
- 声称多年历史的供应商域名少于12个月。
- 三次定时尝试后拒绝进行实时视频巡查。
- 许可证上的业务范围不涵盖你的产品。
- LinkedIn仅显示销售职位,用于声称的制造商。
- 审计证书号无法在发行机构公共数据库中验证。
- 任何官方文件上的字体或水印不一致。
- 压力在24至48小时内支付定金,原因是"原材料价格上升"或"工厂位置关闭"。紧迫感是贸易中最古老的欺诈杠杆。
- 价格比竞争对手报价低超过20%,没有结构性解释(无专属原材料、无补贴、无规模优势)。
- 参考无法描述付款条款或日常联系人性格。
任何这些的两个一起证成结束对话。单个标志证成在继续之前需要第三方审计。
Reevol的AI采购代理在这里做什么
Reevol的AI采购代理在供应商被添加到你的候选名单后在几分钟内平行运行前六项检查。它从公共注册表中拉取USCC、CIN或等价物,获取WHOIS和MX数据,交叉参考LinkedIn员工数和职位,针对SGS、TÜV、Bureau Veritas和Intertek数据库验证审计证书号,反向搜索供应商照片,并在100点信任指数上对每个供应商评分。在你的第一个RFQ发出之前,你看到浮出的红色警告,每个警告绑定到其来源URL,以便你的团队可以独立验证。
代理不代替你的样品订单或视频通话;那些仍然是人类参与的步骤。它消除了每个供应商2至4小时的手动数据库跳转,所以你的采购团队在谈判和质量而不是取证上花费时间。
来源
- 国际商会,商业犯罪服务部 - 贸易欺诈统计和预防指导。
- 世界海关组织 - 假冒贸易量和跨境执法数据。
- IFC供应商合规审查 - 新兴市场证书伪造率。
- 联合国Comtrade数据库 - 用于交叉检查供应商出口声明的官方双边贸易流数据。
- 欧盟企业可持续发展报告指令 - 影响供应商选择的ESG审计要求。
- Sedex SMETA平台 - 审计覆盖和CAPR访问。
- 中国国家企业信用信息公示系统 - 免费中国商业执照查询。
- 印度公司事务部 - CIN验证门户。
Want Reevol to run this for you?
Reevol's AI Sourcing Agent handles vetting, RFQ, negotiation, QC, shipping, and payment end-to-end.
Meet the AI Sourcing Agent