Фреймворк протидії шахрайству MITRE (MITRE Fight Fraud Framework, F3) – це структурована база знань, створена аналітиками для опису тактик, технік і підтехнік, які застосовують зловмисники під час інцидентів кіберзумовлених фінансових махінацій. Анонсований у квітні 2026 року MITRE Center for Threat-Informed Defense, він надає командам із протидії шахрайству та кібербезпеки спільну мову для опису, виявлення та запобігання фінансовим злочинам такого характеру.
Проблема, яку вирішує F3, є не стільки технічною, скільки організаційною. Банки, фінтех-компанії та платіжні системи часто розподіляють відповідальність між командами кібербезпеки, аналізу шахрайських дій, протидії відмиванню коштів (AML) і комплаєнсу. Кожна з цих команд використовує власну термінологію та моделі аналізу. Інцидент, який для SOC виглядає як атака із застосуванням соціальної інженерії, для команди з протидії шахрайству може бути захопленням облікового запису, а для AML – підозрілою транзакцією. Без спільної таксономії цим командам складно координувати дії, і зловмисники використовують такі прогалини.
Згідно з Nasdaq Global Financial Crime Report 2026, збитки від шахрайства у 2025 році оцінювалися приблизно у 579 млрд доларів. Останній звіт FBI IC3 також показав, що у 2025 році збитки від кіберзумовлених фінансових махінацій лише для американців перевищили 17,6 млрд доларів. F3 створено для того, щоб допомогти зменшити ці показники завдяки зміщенню протидії на ранні етапи: виявленню та припиненню атак до того, як вони дійдуть до фази монетизації.
Що охоплює F3 і як він побудований?
F3 – це поведінкова модель. Подібно до MITRE ATT&CK, він структурує поведінку зловмисника на трьох рівнях:
Тактика – мета шахрая на кожному етапі, наприклад розвідка або початковий доступ.
Техніка – спосіб досягнення цієї мети, наприклад фішинг для отримання інформації.
Підтехніка – конкретний спосіб реалізації техніки, наприклад вішинг, смішинг або квішинг «QR-фішинг».
Які сім тактик включає F3?
| Тактика | Що шахраї намагаються зробити |
| Розвідка | Зібрати інформацію для планування майбутніх шахрайських операцій. |
| Розробка ресурсів | Придбати або підготувати інфраструктуру, облікові записи чи інші можливості для підтримки атак. |
| Початковий доступ | Закріпитися в цільовому середовищі або обліковому записі. |
| Обхід засобів захисту | Уникнути виявлення під час операції. |
| Позиціонування | Зібрати дані, змінити налаштування облікових записів або підготуватися до виконання операції. |
| Виконання | Запустити шкідливий код або ініціювати транзакції. |
| Монетизація | Перетворити викрадені активи на кошти або іншу цінність під контролем зловмисника. |
Не кожна тактика обов’язково присутня в кожному інциденті шахрайства. Наприклад, зловмисник, який купує готовий доступ, може пропустити етап розвідки й перейти безпосередньо до початкового доступу.
Які техніки F3 є найактуальнішими для соціальної інженерії?
Фішинг для отримання інформації, видавання себе за іншу особу, підміна номера телефону, захоплення MFA та захоплення облікового запису – це техніки, на які безпосередньо має бути спрямоване навчання з підвищення кіберобізнаності. Вони відображають людський фактор атак, який жоден технічний контроль не може усунути самостійно.
Чим F3 відрізняється від MITRE ATT&CK?
F3 побудований за методологією ATT&CK: він використовує ті ж самі філософії проєктування, емпіричне обґрунтування на основі реальних інцидентів і структуру технік та підтехнік. Проте ці два фреймворки охоплюють різні проблемні сфери.
| Критерій | MITRE ATT&CK | MITRE F3 |
| Основна сфера | Кібервторгнення в системи IT/OT | Інциденти кіберзумовленого фінансового шахрайства |
| Основний суб’єкт | Групи, підтримувані державами, та кіберзлочинні угруповання | Шахраї, часто з фінансовою мотивацією |
| Ціль | IT-інфраструктура та дані | Фінансові рахунки, транзакції та кошти |
| Результат | Витік даних, програми-вимагачі, шпигунство | Шахрайські перекази, захоплення рахунків, крадіжка персональних даних |
| Кінцева мета | Компрометація, закріплення в системі, порушення роботи | Монетизація |
| Основний користувач | Аналітики SOC, аналітики кіберзагроз | Команди з протидії шахрайству, fraud-fusion команди, AML, комплаєнс, SOC |
Ключовою відмінністю є тактика монетизації, якої немає в ATT&CK. F3 розширює життєвий цикл атаки, щоб показати, як викрадені дані та доступи перетворюються на фінансову вигоду. Саме цей етап є критичним для команд із запобігання шахрайству.
F3 також містить нові описи дій, які не мають прямих еквівалентів в ATT&CK. Водночас він посилається на наявні техніки ATT&CK і адаптує їх до контексту фінансового шахрайства, зокрема підбір облікових даних, крадіжки сесійних cookie та атаки «adversary-in-the-middle».
Ці два фреймворки доповнюють один одного, а не конкурують. SOC фінансової установи може використовувати ATT&CK для опису технічної частини атаки, а F3 – для опису життєвого циклу шахрайства, що може відбуватися після атаки.
Чому F3 найбільш корисний для фінансових сервісів?
Фінансові установи є першочерговим фокусом F3, і на це є вагомі причини. Вони працюють в одному з найскладніших середовищ протидії шахрайству: регульований моніторинг транзакцій, дотримання правил протидії відмиванню коштів (AML), процедури ідентифікації та верифікації клієнтів (KYC) і безпосередній ризик захоплення рахунків, махінацій з переказами та маніпуляцій із платежами.
Техніки, найпоширеніші у фінансовому середовищі, зокрема вішинг, смішинг, підміна номерів телефону, атаки через MFA fatigue та видавання себе за іншу особу, чітко відображені у F3. Саме тому цей фреймворк найбільш підходить для:
- Розробки програм симуляцій, узгоджених із реальними схемами атак, а не з гіпотетичними сценаріями;
- Навчання працівників контакт-центрів розпізнавати конкретні техніки, які використовуються для обходу процедур перевірки особи;
- Звітування про інциденти шахрайства за допомогою послідовної таксономії, зрозумілої командам кібербезпеки;
- Аналізу прогалин шляхом зіставлення наявних засобів контролю з техніками F3 для визначення незахищених шляхів атак.
У передмові до методологічного документа F3, автором якої є керівник напряму розвідки кіберзлочинності та шахрайства JPMorganChase, виклик сформульовано чітко: те, що починається як ізольована спроба соціальної інженерії, може за принципом снігової кулі перерости в масштабну шахрайську атаку за лічені години, якщо командам бракує спільного розуміння для координації дій.
Отже, F3 є першою базою знань, узгодженою з ATT&CK і спеціально орієнтованою на кіберзумовлене фінансове шахрайство. Її розроблено MITRE Center for Threat-Informed Defense за участю JPMorganChase, FS-ISAC, Lloyds Banking Group, CrowdStrike та інших організацій. F3 охоплює сім тактик і десятки технік та підтехнік, серед яких важливе місце посідають соціальна інженерія та фішинг. Ця база знань призначена для команд із протидії шахрайству та допомагає поєднати напрями кібербезпеки, fraud-аналізу й AML завдяки спільній термінології. Для програм підвищення обізнаності з безпеки у фінансовому секторі F3 є актуальною та точною таксономією технік атак, які працівники мають уміти розпізнавати.







