非營利組織MITRE公司週四發布了一項新的框架，旨在幫助各組織打擊詐欺者。MITRE 的反詐欺框架（MITRE F3）是一個經過精心整理的知識庫，它提供了一個基於行為的模型，描述了詐欺者採用的策略、技術和程序（TTP），並以現實世界的攻擊為依據。

MITRE 表示：「這些事件涉及故意使用欺騙或非法手段，以欺詐手段從個人或機構獲取金錢、資產或信息，包括透過網路管道實施的行為。」

該框架提供了一個描述網路詐欺事件的通用結構和分類法，旨在加強在詐欺偵測、預防和應對方面的合作。分析師開發的知識庫被設計成一個結構化、透明且與實際操作相關的資源，該資源在全球範圍內可存取、開放且免費使用。

MITRE F3 透過引入兩種專門針對詐欺的策略，詳細說明了 ATT&CK 框架中未包含的行為。這些措施包括定位（包括旨在收集和操縱資料以及準備後續執行的入侵後行動）和貨幣化（涉及威脅行為者為將受損資產轉化為可用價值而執行的活動）。

MITRE指出：「這些新增功能捕捉到了欺詐行為的獨特之處，即成功取決於轉移和提取價值，而不僅僅是獲得存取權限。通過捕捉這些階段，F3使防御者能夠追踪欺詐活動，從最初的入侵到最終的財務影響。」

該框架還改變了 ATT&CK 中已有的戰術的定義，例如偵察、資源開發、初始進入、防禦規避和執行。

MITRE解釋說：「這種結構創建了一種共享語言，使網路和欺詐防御者能夠列舉欺詐事件中的實質性事件，將網路活動與財務結果聯繫起來，並協調檢測、預防和應對策略。」除了推出該框架的網站外，MITRE還發布了所描述的策略的可視化表示，以及 F3 設計原則和方法的詳細信息，以及如何使用它的信息。GitHub儲存庫中提供了更多資源，其中還詳細介紹了感興趣的各方如何參與該專案。

ITRE 的反詐欺框架（MITRE F3）應用方法

MITRE 近期發布的 FiGHT (Fight Fraud Framework™, 簡稱 F3)的知識庫與行動框架，其核心應用方法可以總結為：將詐騙行為「結構化」與「行為化」，使防禦者能以對抗網路攻擊的思維，系統性地應對金融與資安結合的複合式詐騙。以下是分析與整理的應用方法：

1. 核心框架結構

FiGHT 延續了 MITRE ATT&CK 的邏輯，將詐騙流程拆解為不同的戰術 (Tactics) 與技術 (Techniques)。

• 新增關鍵戰術：FiGHT 特別加入了 ATT&CK 中較少涵蓋的兩個詐騙階段：
• 定位 (Positioning)：攻擊者在入侵成功後，為了進行轉帳或操作，所需進行的數據操縱與身份偽裝行為。
• 變現 (Monetization)：這是詐騙的核心，描述如何將受害者的資產（如帳戶餘額、信用卡資訊）轉換成可提領的價值或實體現金。

2. 具體的應用方法

• 跨部門的共同語言 (Shared Taxonomy)

―          方法：企業中的「資安團隊 (Cyber)」與「反詐欺團隊 (Fraud)」通常使用不同的術語。FiGHT 提供了一套標準詞彙（如「卡片資訊獲取」、「帳戶操作」等）。

―          應用：使兩個團隊能共同追蹤一個案件。例如，資安團隊偵測到的「憑證填充攻擊 (Credential Stuffing)」可以與反詐團隊觀察到的「異常大額轉帳」在框架中連結起來，定義為同一個攻擊路徑。

• 詐騙威脅建模 (Threat Modeling)

―          方法：利用框架中的技術矩陣，分析特定產品（如網路銀行、電子支付）可能遭遇的詐騙路徑。

―          應用：模擬攻擊者的腳本。例如：偵察 (Reconnaissance) -> 釣魚 (Initial Access) -> 地理位置偽裝 (Positioning) -> 電子資金轉帳 (Monetization)。

• 缺口分析與防禦設計 (Gap Analysis)

―          方法：將現有的監控與攔截工具對應到 FiGHT 矩陣中。

―          應用：如果矩陣顯示「變現」階段的「虛擬卡使用 (Use Virtual Cards)」技術目前沒有任何偵測手段，企業便能明確知道防禦漏洞在哪裡，進而優先投入資源強化該環節。

• 事件調查與溯源 (Incident Response)

―          方法：當詐騙發生時，使用框架來標註攻擊者的每個步驟。

―          應用：調查員可以透過標記技術點，發現特定詐騙集團的「行為特徵 (Fingerprinting)」，即便他們更換了 IP 或帳號，行為模式的一致性也能幫助識別出背後的同一組織。

3. FiGHT 的戰術矩陣範例

根據報導與 MITRE 官網，FiGHT 涵蓋了從前期準備到最後收錢的全流程：

FiGHT 框架的價值在於它「追蹤價值而非僅僅追蹤存取權」。對於企業而言，FiGHT 的應用方法不再是孤立地看一封釣魚信或一次轉帳，而是將其視為一連串的行為鏈條。這使得防禦者能在詐騙者「變現」之前，在「定位」或「初始存取」階段就提前識別並阻斷攻擊。

應用MITRE防範欺騙性匯款

針對組織遭遇「欺騙性匯款」（例如：商務電子郵件詐騙 BEC、供應商發票詐騙）的威脅，我們可以利用 MITRE FiGHT 框架的邏輯，將防禦方法從單純的「人員教育」提升到「流程與技術的行為化管理」。以下是針對組織匯款詐騙情境，分析 FiGHT 框架的具體應用方法：

1. 建立「攻擊路徑」模型 (Attack Path Modeling)

組織被騙匯款通常不是單一事件，而是一連串的行為鏈。應用 FiGHT 框架可以幫助我們識別出關鍵的攔截點：

• 偵察階段 (Reconnaissance)：攻擊者研究組織架構（如 LinkedIn 上的財務主管、CEO 名稱）。

應用方法：監控外部對公司高層資訊的異常爬取，並對外公開資訊進行「最小化」管理。

• 初始存取 (Initial Access)：攻擊者入侵或偽冒高層/供應商的信箱。

應用方法：強化電子郵件安全協議（如實施 DMARC/SPF/DKIM），防範網域仿冒。

• 定位階段 (Positioning)：這是最關鍵的一步。攻擊者會在此時修改匯款資訊（例如：宣稱公司更換帳號、要求將款項匯入新銀行）。

應用方法：監控財務流程中的「異常行為」，例如供應商突然更改收款資訊，系統應自動標註為「FiGHT: Positioning」行為，觸發二次驗證。

2. 基於 FiGHT 框架的防禦矩陣 (Defensive Controls)

將 FiGHT 提及的技術轉化為組織內部的 SOP 控管點：

3. 提升事故調查與歸因能力 (Incident Investigation)

當組織不幸發生匯款遭騙時，FiGHT 框架能幫助進行「死因分析」：

• 行為標註：調查過程中，標註攻擊者是如何獲取信任的？是透過「身分操縱 (Identity Manipulation)」還是「社交工程 (Social Engineering)」？
• 脆弱點識別：透過分析，如果發現多起詐騙都成功在「定位階段」修改了發票資訊，這代表組織的 BPM (業務流程管理) 存在嚴重缺陷，而不僅僅是資安軟體的問題。

4. 跨部門的防詐演練 (Fraud Simulations)

利用 FiGHT 的技術清單（Techniques）來設計更精準的演習：

• 模擬情境：模擬攻擊者偽裝成法律顧問，宣稱有緊急併購案需支付保密金。
• 檢測重點：觀察財務人員是否落實了框架建議的「外部實體驗證」。這類演練能讓員工理解「詐騙」與「網路攻擊」在 FiGHT 框架下是同一個硬幣的兩面。

總結應用建議

針對組織匯款詐騙， FiGHT 框架最大的貢獻在於將「人為疏失」轉化為「系統性行為偵測」。建議組織將財務 SOP 與 FiGHT 框架中的 Positioning (定位) 與 Monetization (變現) 戰術進行對齊，確保在錢匯出去之前，至少有兩個以上的「行為技術點」能觸發警示。