Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
MITRE zaprezentował Fight Fraud Framework, w skrócie F3, czyli wspólny model opisu działań przestępczych ukierunkowanych na oszustwa finansowe oraz nadużycia wspierane technikami cybernetycznymi. Celem tych ram jest ujednolicenie języka i sposobu modelowania kampanii fraudowych, tak aby zespoły przeciwdziałające oszustwom oraz analitycy cyberbezpieczeństwa mogli pracować na tej samej strukturze analitycznej.
F3 odpowiada na rosnącą potrzebę łączenia perspektywy antyfraudowej z cyber threat intelligence. W praktyce nowoczesne oszustwa bardzo często obejmują zarówno elementy socjotechniki, jak i techniczne przejęcie dostępu, manipulację tożsamością, nadużycie kont oraz finalną monetyzację zdobytych zasobów.
W skrócie
Fight Fraud Framework to behawioralny framework opracowany przez MITRE do opisu pełnego cyklu życia oszustwa. Model opiera się na obserwowanych incydentach i porządkuje aktywność sprawców w taktyki oraz techniki, co ma pomóc organizacjom lepiej rozumieć sekwencję działań przeciwnika.
- łączy perspektywę fraud operations i cyberbezpieczeństwa,
- opisuje zachowania sprawcy na kolejnych etapach kampanii,
- rozszerza podejście znane z MITRE ATT&CK o aspekty specyficzne dla oszustw,
- uwzględnia etapy pozycjonowania i monetyzacji,
- wspiera mapowanie technik do źródeł danych i procesów detekcyjnych.
Kontekst / historia
Straty związane z oszustwami finansowymi stale rosną, a wiele organizacji od lat zmaga się z rozdzieleniem kompetencji pomiędzy zespoły antyfraudowe i cyberbezpieczeństwa. Obie funkcje często korzystają z innych narzędzi, innych definicji incydentu oraz innych modeli opisu przebiegu ataku, co utrudnia budowanie pełnego obrazu kampanii.
Problem jest szczególnie widoczny w scenariuszach, które łączą phishing, przejęcie tożsamości, nadużycie konta, malware oraz manipulację procesami płatniczymi. MITRE od lat rozwija modele zachowań przeciwnika używane w threat intelligence i detection engineering, a F3 wpisuje się w tę logikę, koncentrując się na przypadkach, w których kluczowym celem atakującego jest osiągnięcie korzyści finansowej.
Analiza techniczna
Z technicznego punktu widzenia F3 jest modelem behawioralnym, a nie silnikiem decyzyjnym. Nie służy bezpośrednio do automatycznego blokowania transakcji ani do punktowej oceny ryzyka pojedynczej operacji. Jego rolą jest opisanie, co robi przeciwnik na kolejnych etapach kampanii oraz jakie techniki wykorzystuje do osiągnięcia celu.
Framework porządkuje aktywność sprawcy w taktyki obejmujące pełny łańcuch działań, w tym rozpoznanie, rozwój zasobów, uzyskanie początkowego dostępu, unikanie detekcji, pozycjonowanie, wykonanie i monetyzację. Szczególnie ważne są dwa elementy. Pozycjonowanie odnosi się do działań podejmowanych po uzyskaniu dostępu do środowiska, takich jak przygotowanie gruntu pod realizację oszustwa lub pozyskiwanie danych. Monetyzacja obejmuje natomiast zamianę przejętych aktywów, dostępu lub informacji na środki finansowe albo inną mierzalną wartość.
W obszarach wspólnych z ATT&CK F3 wykorzystuje zgodne nazewnictwo i strukturę, dostosowując definicje do kontekstu fraudowego. Techniki charakterystyczne wyłącznie dla oszustw, które nie mieszczą się w klasycznym katalogu ATT&CK, otrzymują własne oznaczenia z serii F1XXX. To istotne dla dojrzałych organizacji, ponieważ ułatwia korelację danych między systemami threat intelligence, analityką fraudową i platformami detekcyjnymi bez konieczności budowania całkowicie odrębnego modelu pojęciowego.
MITRE podkreśla również, że techniki w F3 powinny opisywać zachowania możliwe do zaobserwowania podczas incydentu, a nie tylko narzędzia lub ogólne cechy sprawcy. Każdy scenariusz musi zawierać komponent cyfrowy lub technologiczny, taki jak phishing, malware czy nieautoryzowany dostęp. Zachowania powtarzalne w wielu wariantach mogą być dzielone na podtechniki, co poprawia spójność modelu i jego użyteczność analityczną.
Konsekwencje / ryzyko
Najważniejszą konsekwencją wdrożenia F3 może być poprawa widoczności całych kampanii fraudowych, a nie tylko pojedynczych alertów. W tradycyjnym podejściu organizacje często opierają się na regułach transakcyjnych, które skutecznie wychwytują anomalie punktowe, ale gorzej odwzorowują pełną logikę działania przeciwnika.
Brak wspólnego modelu pomiędzy fraudem a cyberbezpieczeństwem zwiększa ryzyko opóźnionej reakcji, błędnej priorytetyzacji incydentów oraz pomijania etapów przygotowawczych, które same w sobie nie generują jeszcze strat finansowych. W efekcie phishing, przejęcie konta i nietypowa transakcja bywają analizowane oddzielnie, mimo że stanowią element jednej kampanii.
Dla sektora finansowego, e-commerce, fintech, ubezpieczeń i usług cyfrowych ryzyko jest szczególnie wysokie, ponieważ współczesne oszustwa mają coraz częściej charakter hybrydowy. Łączą ataki na użytkownika końcowego, manipulację kanałami komunikacji, obejście mechanizmów uwierzytelniania i szybkie uruchomienie procesu transferu środków. F3 może pomóc zrozumieć te zależności, ale nie zastępuje reguł, heurystyk, modeli uczenia maszynowego ani kontroli operacyjnych.
Rekomendacje
Organizacje powinny traktować F3 jako warstwę modelującą zachowanie przeciwnika, a nie jako zamiennik istniejących systemów detekcji oszustw. Dobrym punktem wyjścia jest wspólny warsztat zespołów SOC, fraud operations, threat intelligence i incident response, którego celem będzie mapowanie znanych scenariuszy oszustw do taktyk i technik F3.
Kolejnym krokiem powinno być powiązanie technik z konkretnymi źródłami telemetrycznymi, takimi jak logi uwierzytelniania, dane urządzeń, sygnały behawioralne użytkownika, informacje o sesji, atrybuty transakcyjne czy dane z systemów ochrony poczty, EDR, IAM oraz platform antyfraudowych. Taka mapa pozwala określić, które etapy kampanii są już obserwowalne, a które pozostają poza zasięgiem detekcji.
- ujednolicić słownik pojęć między zespołami fraud i cyber,
- dokumentować incydenty jako sekwencje technik, a nie wyłącznie listy alertów,
- analizować zależności między phishingiem, przejęciem konta, zmianą danych odbiorcy i finalną monetyzacją,
- projektować reguły detekcyjne w oparciu o całe wzorce zachowań,
- regularnie aktualizować modele zagrożeń o nowe schematy oszustw.
Z perspektywy architektury bezpieczeństwa F3 może być także użyteczny przy ocenie luk kontrolnych. Jeżeli organizacja wykrywa etap wykonania, ale nie ma widoczności dla rozpoznania, pozycjonowania czy unikania detekcji, oznacza to potrzebę rozbudowy telemetryki i korelacji zdarzeń. Dla zespołów detection engineering framework może stać się podstawą budowy playbooków, przypadków użycia i testów skuteczności zabezpieczeń.
Podsumowanie
MITRE Fight Fraud Framework to istotny krok w kierunku połączenia analityki cyberzagrożeń i praktycznej walki z oszustwami finansowymi. Największą wartością F3 jest wspólny, behawioralny model opisu kampanii fraudowych, który uwzględnia nie tylko uzyskanie dostępu, ale również działania prowadzące do osiągnięcia zysku przez sprawcę.
Dla organizacji oznacza to szansę na lepsze modelowanie ryzyka, pełniejszą korelację sygnałów i skuteczniejsze przerywanie oszustw na wcześniejszych etapach. Framework nie zastępuje mechanizmów detekcyjnych ani decyzji operacyjnych, ale może znacząco poprawić ich jakość poprzez dostarczenie spójnego kontekstu analitycznego.
Źródła
- MITRE releases a shared fraud-cyber framework built from real attack data — https://www.helpnetsecurity.com/2026/04/13/mitre-fight-fraud-framework-f3/
- MITRE Fight Fraud Framework — https://ctid.mitre.org/fraud