Фреймворк противодействия мошенничеству MITRE (MITRE Fight Fraud Framework, F3 – это структурированная база знаний, созданная аналитиками для описания тактик, техник и подтехник, которые применяют злоумышленники во время инцидентов киберобусловленного финансового мошенничества. Анонсированный в апреле 2026 года MITRE Center for Threat-Informed Defense, он предоставляет командам по противодействию мошенничеству и кибербезопасности общий язык для описания, обнаружения и предотвращения финансовых преступлений такого характера.
Проблема, которую решает F3, является не столько технической, сколько организационной. Банки, финтех-компании и платежные системы часто распределяют ответственность между командами кибербезопасности, анализа мошеннических действий, противодействия отмыванию денег (AML) и комплаенса. Каждая из них использует собственную терминологию и модели анализа. Инцидент, который для SOC выглядит как атака с применением социальной инженерии, для команды по противодействию мошенничеству может быть захватом учетной записи, а для AML – подозрительной транзакцией. Без общей таксономии сложно координировать действия, и злоумышленники используют такие пробелы.
Согласно Nasdaq Global Financial Crime Report 2026, убытки от мошенничества в 2025 году оценивались примерно в 579 млрд долларов. Последний отчет FBI IC3 также показал, что в 2025 году убытки от киберобусловленного финансового мошенничества только для американцев превысили 17,6 млрд долларов. F3 создан для того, чтобы помочь снизить эти показатели благодаря смещению противодействия на ранние этапы: обнаружению и пресечению атак до того, как они дойдут до фазы монетизации.
Что охватывает F3 и как он построен?
F3 – это поведенческая модель. Подобно MITRE ATT&CK, он структурирует поведение злоумышленника на трех уровнях:
Тактика – цель мошенника на каждом этапе, например разведка или первоначальный доступ.
Техника – способ достижения этой цели, например фишинг для получения информации.
Подтехника – конкретный способ реализации техники, например вишинг, смишинг или квишинг («QR-фишинг»).
Какие семь тактик включает F3?
| Тактика | Что мошенники пытаются сделать |
| Разведка | Собрать информацию для планирования будущих мошеннических операций. |
| Разработка ресурсов | Приобрести или подготовить инфраструктуру, учетные записи или другие возможности для поддержки атак. |
| Первоначальный доступ | Закрепиться в целевой среде или учетной записи. |
| Обход средств защиты | Избежать обнаружения во время операции. |
| Позиционирование | Собрать данные, изменить настройки учетных записей или подготовиться к выполнению операции. |
| Выполнение | Запустить вредоносный код или инициировать транзакции. |
| Монетизация | Превратить похищенные активы в денежные средства или другую ценность под контролем злоумышленника. |
Не каждая тактика обязательно присутствует в каждом инциденте мошенничества. Например, злоумышленник, покупающий готовый доступ, может пропустить этап разведки и перейти непосредственно к первоначальному доступу.
Какие техники F3 наиболее актуальны для социальной инженерии?
Фишинг для получения информации, выдача себя за другое лицо, подмена номера телефона, захват MFA и захват учетной записи – это техники, на которые непосредственно должно быть направлено обучение по повышению киберосведомленности. Они отражают человеческий фактор атак, который ни один технический контроль не может устранить самостоятельно.
Чем F3 отличается от MITRE ATT&CK?
F3 построен по методологии ATT&CK: он использует те же философии проектирования, эмпирическое обоснование на основе реальных инцидентов и структуру техник и подтехник. Однако эти два фреймворка охватывают разные проблемные сферы.
| Критерий | MITRE ATT&CK | MITRE F3 |
| Основная сфера | Кибервторжения в системы IT/OT | Инциденты киберобусловленного финансового мошенничества |
| Основной субъект | Группы, поддерживаемые государствами, и киберпреступные группировки | Мошенники, часто с финансовой мотивацией |
| Цель | IT-инфраструктура и данные | Финансовые счета, транзакции и средства |
| Результат | Утечка данных, программы-вымогатели, шпионаж | Мошеннические переводы, захват счетов, кража персональных данных |
| Конечная цель | Компрометация, закрепление в системе, нарушение работы | Монетизация |
| Основной пользователь | Аналитики SOC, аналитики киберугроз | Команды по противодействию мошенничеству, fraud-fusion команды, AML, комплаенс, SOC |
Ключевым отличием является тактика монетизации, которой нет в ATT&CK. F3 расширяет жизненный цикл атаки, чтобы показать, как украденные данные и доступы превращаются в финансовую выгоду. Именно этот этап является критическим для команд по предотвращению мошенничества.
F3 также содержит новые описания действий, которые не имеют прямых эквивалентов в ATT&CK. В то же время он ссылается на существующие техники ATT&CK и адаптирует их к контексту финансового мошенничества, в частности подбор учетных данных, кражу сессионных cookie и атаки «adversary-in-the-middle».
Эти два фреймворка дополняют друг друга, а не конкурируют. SOC финансового учреждения может использовать ATT&CK для описания технической части атаки, а F3 – для описания жизненного цикла мошенничества, которое может происходить после атаки.
Почему F3 наиболее полезен для финансовых сервисов?
Финансовые учреждения являются первоочередным фокусом F3, и на то есть веские причины. Они работают в одной из самых сложных сред противодействия мошенничеству: регулируемый мониторинг транзакций, соблюдение правил противодействия отмыванию денег (AML), процедуры идентификации и верификации клиентов (KYC) и непосредственный риск захвата счетов, махинаций с переводами и манипуляций с платежами.
Техники, наиболее распространенные в финансовой среде, в частности вишинг, смишинг, подмена номеров телефона, атаки через MFA fatigue и выдача себя за другое лицо, четко отражены в F3. Именно поэтому этот фреймворк наиболее подходит для:
- Разработки программ симуляций, согласованных с реальными схемами атак, а не с гипотетическими сценариями;
- Обучения сотрудников контакт-центров распознавать конкретные техники, используемые для обхода процедур проверки личности;
- Отчетности об инцидентах мошенничества с помощью последовательной таксономии, понятной командам кибербезопасности;
- Анализа пробелов путем сопоставления имеющихся средств контроля с техниками F3 для определения незащищенных путей атак.
В предисловии к методологическому документу F3, автором которого является руководитель направления разведки киберпреступности и мошенничества JPMorganChase, вызов сформулирован четко: то, что начинается как изолированная попытка социальной инженерии, может по принципу снежного кома перерасти в масштабную мошенническую атаку за считанные часы, если командам не хватает общего понимания для координации действий.
Таким образом, F3 является первой базой знаний, согласованной с ATT&CK и специально ориентированной на киберобусловленное финансовое мошенничество. Она разработана MITRE Center for Threat-Informed Defense при участии JPMorganChase, FS-ISAC, Lloyds Banking Group, CrowdStrike и других организаций. F3 охватывает семь тактик и десятки техник и подтехник, среди которых важное место занимают социальная инженерия и фишинг. Эта база знаний предназначена для команд по противодействию мошенничеству и помогает объединить направления кибербезопасности, fraud-анализа и AML благодаря общей терминологии. Для программ повышения осведомленности по безопасности в финансовом секторе F3 является актуальной и точной таксономией техник атак, которые сотрудники должны уметь распознавать.







