MITRE опубликовала Fight Fraud Framework, или просто F3. Это структурированная база знаний о том, как именно работают финансовые мошенники в цифровой среде. Это не теоретическая модель, а живой документ, написанный аналитиками на основе реальных инцидентов.
F3 устроена по той же логике: сначала понять, чего хотел злоумышленник, потом — что он сделал, потом — как именно. Отсюда три уровня:
• тактика — это цель мошенника на конкретном этапе атаки
• техника — это способ достижения этой цели
• суб-техника — конкретная реализация
Вся матрица построена на четырёх дизайн-принципах:
Принцип 1. Финансовая организация должна видеть последствия техники в ходе мошеннического инцидента. Если банк не может наблюдать, как действие влияет на исход атаки — оно не попадает в базу.
Принцип 2. Инцидент обязательно должен содержать цифровой элемент. Чисто физическое или бумажное мошенничество — вне сферы F3. Только то, что оставляет цифровой след.
Принцип 3. Техники описывают поведение мошенника, а не инструмент. Не «был использован Telegram-бот», а «автоматизированная рассылка для массового обмана». Важно что сделал, а не чем.
Принцип 4. Если одно и то же действие выполняется разными способами — это техника с суб-техниками. Например, «создание фальшивых материалов» — техника, а «поддельный документ» и «поддельный сайт» — её суб-техники. Это убирает дублирование и сохраняет структуру.
Рассмотрим схему «Ваши деньги в опасности»
Reconnaissance (Разведка)
Техника: Gather Customer Information — сбор данных о жертве из открытых источников и утечек: имя, телефон, частичные данные карты
Resource Development (Подготовка ресурсов)
Техники: Acquire Infrastructure — регистрация номера телефона для подмены caller ID
Create Fake Materials: Fake Website — клон страницы банка при необходимости
Initial Access (Первоначальный доступ)
Техника: Impersonate Official, суб-техника Official Phone Number Spoofing — звонок с подменённого номера от имени службы безопасности банка с легендой о подозрительной транзакции
Defense Evasion (Уклонение от защиты)
Техника: Impersonate Official — инструкция жертве не перезванивать в банк
Delete Relevant Emails — блокировка или объяснение банковских уведомлений безопасности
Positioning (Позиционирование)
Техники: Remote Access Tools — установка приложения удалённого доступа под видом «проверки безопасности»
Account Manipulation — получение одноразового кода из SMS для захвата контроля над счётом
Execution (Исполнение)
Техники: Adversary-in-the-Middle — перехват управления интерфейсом банка
Dispute Legitimate Transaction — инициация перевода на счёт подставного лица
Monetization (Монетизация)
Техники: Convert to Cryptocurrency — конвертация средств
Transfer of Funds — дробление и вывод через сеть посредников
F3 — это не просто “ещё один фреймворк”. Это попытка:
— стандартизировать язык фрода
— связать аналитику и защиту
— перевести борьбу с мошенничеством из реактивной в системную
