美國 2024 年金融詐騙損失達 166 億美元,較 2020 年的 42 億美元大幅攀升。這組數字背後凸顯的是協作斷層:防詐團隊、詐騙調查人員與資安分析人員長期分工分離,使用的工具與術語各異,對攻擊流程的理解也不一致,因而使事件描述與偵測難以對齊。
MITRE 推出的
打擊詐騙框架(Fight Fraud Framework, F3)是一套以行為為核心的模型,目標是讓防詐與資安團隊以同一套結構來描述、偵測與阻斷詐騙活動,並將零散的可疑交易訊號串連成完整的攻擊劇本。
以觀測到的詐騙行為建模
F3 以真實事件為基礎,整理出詐騙者的戰術與技術,
涵蓋完整攻擊生命週期,包括偵察、資源開發、初始存取、防禦規避、佈局、執行與變現。
其中,
「佈局」與「變現」是 MITRE ATT&CK 未涵蓋的戰術。「
佈局」指
攻擊者取得存取權限後,在受害環境內為後續行動做準備,例如蒐集資料、建立流程或安排執行條件。「
變現」則
聚焦於將竊得資產轉為可用資金或價值,反映詐騙以金流結果為終點的特性。
若某些戰術或技術已存在於 ATT&CK,F3 會沿用並調整其定義,使其更符合詐騙情境。若屬於 ATT&CK 之外的詐騙專屬技術,則以 F1XXX 系列編號標記,以維持與既有架構的相容性。
與規則式偵測的差異
許多組織目前仍以規則式偵測為主,透過交易資料中的條件來核准、拒絕或標記可疑活動。MITRE CTID 研究團隊指出,F3 的定位不同:該框架並非用來替交易打分,或直接做封鎖決策,而是回答「攻擊者在這個階段想達成什麼,以及通常怎麼做」,讓團隊能用行為序列理解詐騙,並在這樣的脈絡下改良規則設計。
在實務上,交易決策仍需依靠規則、啟發式方法或機器學習模型,判斷要放行、阻擋或升級處理。
F3 提供防詐人員一致的事件描述方式,也讓資安團隊更容易將偵測與驗證對應到攻擊者技術,並協助管理層以行為與風險視角評估詐騙威脅。MITRE 建議的導入路徑包括:讓兩個團隊納入同一套工作流程,並用共同語言持續累積案例與趨勢。
MITRE 也計畫逐步補上可用於偵測詐騙技術的資料來源與建議緩解措施,並開放社群在 F3 網站提出建議與貢獻內容。
建議做法
- 以 F3 建立跨團隊的事件分類與共通詞彙,讓調查、偵測與回應一致對齊
- 將已知詐騙手法對應至資料來源與可觀測訊號,據此回頭調整規則與模型特徵
- 以攻擊生命週期檢視缺口,補強「佈局」與「變現」階段的監控與告警
本文轉載自 HelpNetSecurity。