أطلقت مؤسسة MITRE، عبر مركز الدفاع القائم على معلومات التهديدات (Center for Threat-Informed Defense)، إطار عمل متخصصاً يحمل اسم MITRE Fight Fraud Framework، ويُعرف اختصاراً بالرمز F3. يمثل هذا الإصدار نموذجاً سلوكياً صُمم لإيجاد لغة تحليلية موحدة تجمع بين فرق مكافحة الاحتيال وفرق الأمن السيبراني؛ لمعالجة ثغرة تشغيلية قائمة ناتجة عن تعامل الفرق المختلفة مع الحادثة الواحدة بمنهجيات وأدوات ومصطلحات متباينة، ما حال سابقاً دون تكوين رؤية شاملة للتهديدات المالية التي تستهدف المؤسسات.
يعتمد بناء إطار F3 على تحليل دقيق لوقائع احتيال حقيقية جرى تفكيكها لإنتاج بنية تحليلية مشتركة، تهدف إلى تمكين المؤسسات من استيعاب تسلسل الحادثة وربط أنشطة المهاجمين بالأثر المالي الناتج عنها بشكل مباشر. ويتبع الإطار منطق التكتيكات والتقنيات المستخدم في نموذج MITRE ATT&CK الشهير، مع إدخال تعديلات جوهرية تجعل هذا النهج متوافقاً مع الطبيعة الخاصة لعمليات الاحتيال المالي الرقمي.
المكونات الهيكلية للإطار والفوارق الجوهرية عن الأنظمة التقليدية
ينظم الإطار سلسلة العمليات الهجومية في مراحل تبدأ من الاستطلاع وتطوير الموارد والوصول الأولي، وصولاً إلى تفادي الدفاعات والتنفيذ التقني. وقد أضافت المؤسسة مسارين محوريين يمثلان عماد الاحتيال المالي، وهما: التموضع (Positioning)، وتحقيق العائد (Monetization).
يشمل التموضع كافة الأنشطة التي يقوم بها المهاجم داخل البيئة المخترقة، مثل جمع البيانات أو تعديلها لتهيئة الظروف للخطوات التالية. أما تحقيق العائد فيركز على عملية تحويل الأصول المسروقة إلى قيمة مالية فعلية قابلة للاستخدام خارج النطاق الرقمي.
يظهر الفرق الواضح بين الهجمات السيبرانية التقليدية وعمليات الاحتيال في امتداد نشاط المهاجم في إطار F3 إلى ما بعد اختراق الأنظمة، ليشمل استخراج القيمة المالية وتصريفها. ويستخدم الإطار تقنيات نموذج ATT&CK القائمة مع إعادة تعريفها لتناسب سياق الاحتيال، بينما خُصصت معرفات تبدأ بـ F1XXX للتقنيات الجديدة التي لا تندرج تحت النماذج السابقة.
يختلف هذا التوجه عن أنظمة كشف الاحتيال التقليدية التي تعتمد على قواعد جامدة لتحليل المعاملات؛ إذ يركز F3 على توصيف كيفية حدوث الاحتيال عبر دورة الهجوم كاملة، بدلاً من الاكتفاء بإصدار قرارات القبول أو الرفض اللحظية.
القيمة التشغيلية والمبادئ التأسيسية لإدارة المخاطر المالية
يوفر إطار F3 قيمة عملية من خلال منح محللي الاحتيال وسيلة موحدة لوصف الحوادث، وتزويد فرق الأمن السيبراني ببنية واضحة لرصد تقنيات الخصوم. وفي هذا الصدد، تدعو MITRE المؤسسات إلى دمج فرقها ضمن سير عمل مشترك، واستخدام هذا الإطار لتوثيق الحوادث والاتجاهات الأمنية.
استند تصميم الإطار إلى 4 مبادئ أساسية؛ أولها ضرورة أن تكون التقنية قابلة للملاحظة والرصد أثناء الحادثة، ويشترط المبدأ الثاني وجود عنصر تقني واحد على الأقل، مثل التصيد أو البرمجيات الخبيثة. بينما يركز المبدأ الثالث على وصف سلوك الخصم نفسه، ويقضي المبدأ الرابع بالربط بين التقنيات والتقنيات الفرعية لضمان اتساق مستويات التحليل.
تتزامن هذه الخطوة مع تزايد حاد في الخسائر المالية المرتبطة بالاحتيال؛ حيث تشير بيانات مكتب التحقيقات الفيدرالي (FBI) إلى أن خسائر الشكاوى في الولايات المتحدة تجاوزت 50 مليار دولار بين عامي 2020 و2024.
وقد نشرت MITRE الإطار في التاسع من أبريل 2026 عبر صفحة Fight Financial Fraud كقاعدة معرفية قابلة للتحديث. وتعتزم المؤسسة توسيع المحتوى تدريجياً عبر إضافة مصادر بيانات تدعم الكشف عن التقنيات ووسائل التخفيف، مع فتح الباب للمختصين للمساهمة في تطوير هذا النموذج لمواكبة الأساليب المتطورة للمهاجمين.
