Фреймворк протидії шахрайству MITRE (F3): Що це таке та чому це важливо?

Фреймворк протидії шахрайству MITRE (MITRE Fight Fraud Framework, F3) – це структурована база знань, створена аналітиками для опису тактик, технік і підтехнік, які застосовують зловмисники під час інцидентів кіберзумовлених фінансових махінацій. Анонсований у квітні 2026 року MITRE Center for Threat-Informed Defense, він надає командам із протидії шахрайству та кібербезпеки спільну мову для опису, виявлення та запобігання фінансовим злочинам такого характеру.

Проблема, яку вирішує F3, є не стільки технічною, скільки організаційною. Банки, фінтех-компанії та платіжні системи часто розподіляють відповідальність між командами кібербезпеки, аналізу шахрайських дій, протидії відмиванню коштів (AML) і комплаєнсу. Кожна з цих команд використовує власну термінологію та моделі аналізу. Інцидент, який для SOC виглядає як атака із застосуванням соціальної інженерії, для команди з протидії шахрайству може бути захопленням облікового запису, а для AML – підозрілою транзакцією. Без спільної таксономії цим командам складно координувати дії, і зловмисники використовують такі прогалини.

Згідно з Nasdaq Global Financial Crime Report 2026, збитки від шахрайства у 2025 році оцінювалися приблизно у 579 млрд доларів. Останній звіт FBI IC3 також показав, що у 2025 році збитки від кіберзумовлених фінансових махінацій лише для американців перевищили 17,6 млрд доларів. F3 створено для того, щоб допомогти зменшити ці показники завдяки зміщенню протидії на ранні етапи: виявленню та припиненню атак до того, як вони дійдуть до фази монетизації.

Що охоплює F3 і як він побудований?

F3 – це поведінкова модель. Подібно до MITRE ATT&CK, він структурує поведінку зловмисника на трьох рівнях:

Тактика – мета шахрая на кожному етапі, наприклад розвідка або початковий доступ.

Техніка – спосіб досягнення цієї мети, наприклад фішинг для отримання інформації.

Підтехніка – конкретний спосіб реалізації техніки, наприклад вішинг, смішинг або квішинг «QR-фішинг».

Які сім тактик включає F3?

ТактикаЩо шахраї намагаються зробити
РозвідкаЗібрати інформацію для планування майбутніх шахрайських операцій.
Розробка ресурсівПридбати або підготувати інфраструктуру, облікові записи чи інші можливості для підтримки атак.
Початковий доступЗакріпитися в цільовому середовищі або обліковому записі.
Обхід засобів захистуУникнути виявлення під час операції.
ПозиціонуванняЗібрати дані, змінити налаштування облікових записів або підготуватися до виконання операції.
ВиконанняЗапустити шкідливий код або ініціювати транзакції.
МонетизаціяПеретворити викрадені активи на кошти або іншу цінність під контролем зловмисника.

Не кожна тактика обов’язково присутня в кожному інциденті шахрайства. Наприклад, зловмисник, який купує готовий доступ, може пропустити етап розвідки й перейти безпосередньо до початкового доступу.

Які техніки F3 є найактуальнішими для соціальної інженерії?

Фішинг для отримання інформації, видавання себе за іншу особу, підміна номера телефону, захоплення MFA та захоплення облікового запису – це техніки, на які безпосередньо має бути спрямоване навчання з підвищення кіберобізнаності. Вони відображають людський фактор атак, який жоден технічний контроль не може усунути самостійно.

Чим F3 відрізняється від MITRE ATT&CK?

F3 побудований за методологією ATT&CK: він використовує ті ж самі філософії проєктування, емпіричне обґрунтування на основі реальних інцидентів і структуру технік та підтехнік. Проте ці два фреймворки охоплюють різні проблемні сфери.

КритерійMITRE ATT&CKMITRE F3
Основна сфераКібервторгнення в системи IT/OTІнциденти кіберзумовленого фінансового шахрайства
Основний суб’єктГрупи, підтримувані державами, та кіберзлочинні угрупованняШахраї, часто з фінансовою мотивацією
ЦільIT-інфраструктура та даніФінансові рахунки, транзакції та кошти
РезультатВитік даних, програми-вимагачі, шпигунствоШахрайські перекази, захоплення рахунків, крадіжка персональних даних
Кінцева метаКомпрометація, закріплення в системі, порушення роботиМонетизація
Основний користувачАналітики SOC, аналітики кіберзагрозКоманди з протидії шахрайству, fraud-fusion команди, AML, комплаєнс, SOC

Ключовою відмінністю є тактика монетизації, якої немає в ATT&CK. F3 розширює життєвий цикл атаки, щоб показати, як викрадені дані та доступи перетворюються на фінансову вигоду. Саме цей етап є критичним для команд із запобігання шахрайству.

F3 також містить нові описи дій, які не мають прямих еквівалентів в ATT&CK. Водночас він посилається на наявні техніки ATT&CK і адаптує їх до контексту фінансового шахрайства, зокрема підбір облікових даних, крадіжки сесійних cookie та атаки «adversary-in-the-middle».

Ці два фреймворки доповнюють один одного, а не конкурують. SOC фінансової установи може використовувати ATT&CK для опису технічної частини атаки, а F3 – для опису життєвого циклу шахрайства, що може відбуватися після атаки.

Чому F3 найбільш корисний для фінансових сервісів?

Фінансові установи є першочерговим фокусом F3, і на це є вагомі причини. Вони працюють в одному з найскладніших середовищ протидії шахрайству: регульований моніторинг транзакцій, дотримання правил протидії відмиванню коштів (AML), процедури ідентифікації та верифікації клієнтів (KYC) і безпосередній ризик захоплення рахунків, махінацій з переказами та маніпуляцій із платежами.

Техніки, найпоширеніші у фінансовому середовищі, зокрема вішинг, смішинг, підміна номерів телефону, атаки через MFA fatigue та видавання себе за іншу особу, чітко відображені у F3. Саме тому цей фреймворк найбільш підходить для:

  • Розробки програм симуляцій, узгоджених із реальними схемами атак, а не з гіпотетичними сценаріями;
  • Навчання працівників контакт-центрів розпізнавати конкретні техніки, які використовуються для обходу процедур перевірки особи;
  • Звітування про інциденти шахрайства за допомогою послідовної таксономії, зрозумілої командам кібербезпеки;
  • Аналізу прогалин шляхом зіставлення наявних засобів контролю з техніками F3 для визначення незахищених шляхів атак.

У передмові до методологічного документа F3, автором якої є керівник напряму розвідки кіберзлочинності та шахрайства JPMorganChase, виклик сформульовано чітко: те, що починається як ізольована спроба соціальної інженерії, може за принципом снігової кулі перерости в масштабну шахрайську атаку за лічені години, якщо командам бракує спільного розуміння для координації дій.

Отже, F3 є першою базою знань, узгодженою з ATT&CK і спеціально орієнтованою на кіберзумовлене фінансове шахрайство. Її розроблено MITRE Center for Threat-Informed Defense за участю JPMorganChase, FS-ISAC, Lloyds Banking Group, CrowdStrike та інших організацій. F3 охоплює сім тактик і десятки технік та підтехнік, серед яких важливе місце посідають соціальна інженерія та фішинг. Ця база знань призначена для команд із протидії шахрайству та допомагає поєднати напрями кібербезпеки, fraud-аналізу й AML завдяки спільній термінології. Для програм підвищення обізнаності з безпеки у фінансовому секторі F3 є актуальною та точною таксономією технік атак, які працівники мають уміти розпізнавати.

Підписатися на новини