O setor financeiro é o principal alvo de ciberataques no Brasil, concentrando mais de 20% de todos os incidentes registrados no primeiro trimestre de 2025. Globalmente, fraudes e esquemas bancários resultaram em US$ 580 bilhões em perdas somente em 2025, segundo dados do próprio MITRE CTID.
Mas o problema não é só a escala, são os silos operacionais entre as equipes de cyber, fraude e AML.
Quando um atacante compromete uma conta via phishing, executa um adversary-in-the-middle para fazer bypass de MFA e em seguida instrui uma transferência fraudulenta, três times diferentes observam o mesmo incidente com vocabulários completamente distintos:
- O SOC registra um ataque de engenharia social e uma sessão de browser comprometida.
- O time de fraude classifica como um account takeover.
- O AML sinaliza uma transação suspeita de alto risco.
Nenhum dos três está errado. Mas, sem uma taxonomia compartilhada, eles raramente chegam a perceber que estão descrevendo o mesmo ator, na mesma campanha, em etapas sequenciais.
O MITRE Fight Fraud Framework (F3) foi construído exatamente para eliminar esse gap.
O que é o MITRE F3?
Lançado em abril de 2026 pelo Center for Threat-Informed Defense (CTID) do MITRE, o F3 é uma base de conhecimento comportamental estruturada em táticas, técnicas e sub-técnicas utilizadas por atores de fraude em incidentes financeiros cibernéticos.
O framework foi desenvolvido em colaboração com JPMorganChase, Citigroup, FS-ISAC, Lloyds Banking Group, CrowdStrike, Standard Chartered, Verizon Business e outros.
Assim como o MITRE ATT&CK, o F3 organiza o comportamento do adversário em três camadas:
- Táticas: o objetivo do ator em cada estágio (por quê)
- Técnicas: como o ator atinge esse objetivo (como)
- Sub-técnicas: implementações específicas (com o quê).
O F3 é compatível com o ATT&CK e publicado em formato STIX 2.1, disponível publicamente neste portal.
As 7 táticas do F3
| Tática | Objetivo do Ator de Fraude |
| Reconnaissance | Coletar informações para planejar operações futuras |
| Resource Development | Adquirir infraestrutura, contas ou capacidades |
| Initial Access | Obter acesso ao ambiente ou conta alvo |
| Defense Evasion | Evitar detecção durante a operação |
| Positioning | Coletar dados, manipular contas e preparar a execução |
| Execution | Executar a transação fraudulenta ou código malicioso |
| Monetisation | Converter ativos roubados em fundos sob controle do atacante |
As táticas Positioning e Monetisation são exclusivas do F3. Portanto, ausentes no ATT&CK clássico. Elas cobrem exatamente o lugar em que a telemetria de fraude vive, e onde a telemetria cibernética tradicional normalmente termina.
Os 7 pontos de conexão entre o MITRE F3 e o SOC
-
Detection engineering: novos casos de uso para SIEM
O ganho mais imediato é usar o MITRE F3 para mapear e expandir a cobertura de detecção. Cada técnica do framework pode ser vinculada a regras SIEM, alertas UEBA ou queries de threat hunting, exatamente como é feito hoje com o ATT&CK Navigator.
As técnicas da série F1XXX – criadas especificamente para o F3, e sem equivalente no ATT&CK – são candidatas diretas ao desenvolvimento de novas regras.
Exemplos de técnicas de alto impacto para use cases no SIEM:
- Phone Number Spoofing / Caller ID Spoofing: falsificação de identidade via voz
- Adversary-in-the-Middle: interceptação de sessão, com bypass de MFA
- MFA Takeover: fatigue attacks e interceptação técnica de OTP
- Steal Web Session Cookie: tokens de sessão roubados para bypass de autenticação
- Account Takeover: via credenciais, API keys, abuso de fluxo de reset de senha
- Credential Stuffing / Brute Force: ataques volumétricos em portais de autenticação
Para cada técnica, a pergunta de detection engineering é: quais fontes de dados da organização cobrem esse comportamento e qual regra SIEM ou alerta UEBA consegue observá-lo?
-
Threat intelligence: Bundle STIX 2.1 pronto para ingestão
O F3 é publicado em STIX 2.1, o mesmo formato padrão usado por plataformas de Threat Intelligence e por SIEMs modernos. Isso significa que o conteúdo do framework pode ser ingerido diretamente em ferramentas como:
- OpenCTI (conector já em desenvolvimento pela comunidade)
- Microsoft Sentinel (via TAXII feed)
- Elastic Security (via custom threat intelligence integration)
- Qualquer TIP com suporte a STIX/TAXII
Para as equipes de CTI do SOC, isso viabiliza a criação de objetos de inteligência – campaigns, threat actors, TTPs – etiquetados com identificadores F3 padronizados. O resultado é inteligência de fraude com o mesmo rigor metodológico aplicado à inteligência cibernética tradicional.
-
Incident response: contexto do ciclo completo
Um alerta de phishing no SIEM pode ser apenas a ponta de um iceberg. O F3 fornece o mapa do ciclo completo de um incidente de fraude — do Reconnaissance ao Monetisation —, permitindo que o analista entenda em qual estágio o alerta foi gerado e o que provavelmente vem a seguir.
Isso transforma a forma como playbooks de resposta a incidentes são construídos. Ao invés de tratar cada alerta como um evento isolado, o SOC pode estruturar respostas que considerem a progressão típica de uma campanha de fraude:
- Detecção de adversary-in-the-middle → acionar verificação de Positioning (há manipulação de dados de conta em curso?) e de Monetisation (há transferências pendentes ou aprovadas recentemente?)
- Alerta de credential stuffing → correlacionar com logs de mudança de número de telefone ou e-mail de recuperação nas últimas 72h.
Esse raciocínio de cadeia de ataque já é natural para analistas treinados em ATT&CK. O F3 estende essa habilidade para o ciclo de fraude financeira.
-
Threat hunting: hipóteses baseadas em comportamento
O F3 é um modelo comportamental, não baseado em IOCs. Isso o torna especialmente valioso para threat hunting (buscas por comportamentos anômalos antes que qualquer alerta seja disparado).
Caçadores de ameaças podem usar as técnicas do F3 para formular hipóteses de hunting derivadas de incidentes reais documentados no framework:
Hipótese 1 — Steal web session cookie: existem sessões web ativas com o mesmo token de autenticação sendo utilizado em dois contextos geográficos distintos com intervalo menor que 30 minutos?
Hipótese 2 — MFA takeover (fatigue): há padrões de 5+ push notifications de MFA enviados ao mesmo usuário em um intervalo de 10 minutos, seguidos de aprovação?
Hipótese 3 — Positioning / Account takeover: existem alterações de número de telefone ou e-mail de recuperação em contas que realizaram login com sucesso nas últimas 24h, mas não tinham histórico de alterações de dados nos 90 dias anteriores?
-
Conexão SOC <> Fraude <> AML
Este é o ponto de maior valor estratégico. O F3 foi projetado especificamente para ser o tradutor universal entre times que hoje operam em silos — cyber, fraude e AML.
Cada um desses times tem ferramentas, métricas e vocabulário próprios. O F3 fornece a taxonomia compartilhada que permite correlacionar eventos observados por times diferentes como partes do mesmo incidente.
Na prática operacional, isso viabiliza a criação de BSOC, BOC ou CFC: equipes combinadas de analistas de cyber, fraude e AML, com workflows integrados e análise conjunta de incidentes. O F3 atua como o documento de referência comum que sustenta esses workflows — do ticket inicial no SIEM ao relatório de investigação final.
Como os autores do MITRE descrevem:
Fraud actors do not operate within the boundaries of organizational charts. They move seamlessly across cyber systems and fraud channels, combining techniques to steal your money and the bank’s money.
-
Gap analysis: mapeamento de cobertura de controles
A matriz F3 pode ser usada diretamente para conduzir uma análise de cobertura de controles, seguindo a mesma metodologia usada com o ATT&CK:
- Para cada técnica F3, identificar se há detecção ativa (alerta disparado), detecção passiva (log disponível, sem alerta) ou gap (sem visibilidade)
- Cruzar esse mapeamento com a criticidade das técnicas observadas em incidentes reais da organização
- Priorizar o desenvolvimento de use cases com base no impacto potencial e na facilidade de implementação.
O resultado é uma lista objetiva de prioridades para o time de detection engineering, especialmente útil quando os recursos são escassos e a pressão para demonstrar ROI é alta.
-
Métricas e reporting: padronização para CISO e compliance
A taxonomia padronizada do F3 permite que incidentes de fraude sejam reportados com a mesma consistência e rastreabilidade que incidentes cibernéticos tradicionais. Para o CISO, isso significa:
- Dashboards de tendência por tática e técnica ao longo do tempo
- Comparação por período de quais estágios do ciclo de fraude estão sendo mais explorados
- Evidências estruturadas para relatórios regulatórios (BACEN, resolução BCB nº 538/2025, PCI-DSS)
Para compliance e auditoria, a documentação de incidentes com referências a técnicas F3 padronizadas aumenta a rastreabilidade e facilita tanto auditorias internas quanto a produção de evidências em investigações formais.
MITRE F3 e MITRE ATT&CK: uso complementar, não substituição
O F3 não substitui o ATT&CK. Muito pelo contrário. Os dois frameworks são complementares e cobrem partes distintas do mesmo ciclo de ataque:
| Dimensão | MITRE ATT&CK | MITRE F3 |
| Foco principal | Comprometimento técnico (intrusão, malware, movimentação lateral) | Lifecycle de fraude financeira (desde o reconhecimento até a monetização) |
| Táticas únicas | Initial Access, Execution, Exfiltration | Positioning, Monetisation |
| Público-alvo primário | Analistas de SOC e Red Team | SOC + times de fraude + AML |
| Formato | STIX 2.1 | STIX 2.1 (compatível com ATT&CK) |
| Melhor uso no SOC | Mapear comprometimento técnico de sistemas | Mapear o que o atacante faz após o comprometimento com foco em fraude financeira |
A recomendação operacional do MITRE CTID é usar o ATT&CK para mapear o comprometimento técnico e o F3 para mapear o ciclo de vida de fraudes que decorrem desse comprometimento técnico. Na prática, os dois frameworks se articulam: onde o ATT&CK termina (acesso inicial, execução de código), o F3 continua (Positioning, Monetisation).
Limitações do F3
O F3 é um modelo de coordenadas, não de decisão. Ele descreve comportamentos e não pontua transações, não substitui modelos de ML e não isenta a organização das obrigações regulatórias de AML/KYC. A qualidade da detecção ainda depende da maturidade do pipeline de dados e da cobertura de logs da organização.
O framework foi lançado em abril de 2026 e ainda não inclui, na versão inicial, fontes de dados mapeadas por técnica nem mitigações recomendadas. Esses recursos o MITRE planeja adicionar nas próximas iterações.
Como começar a implementar o F3 em um SOC existente?
O MITRE CTID recomenda cinco passos:
- Integrar operacionalmente os times de fraude e cyber
- Documentar incidentes usando a taxonomia F3
- Mapear técnicas às fontes de dados disponíveis
- Construir regras de detecção
- Conduzir gap analysis periódico.
Organizações que já possuem maturidade em ATT&CK — com cobertura de detecção mapeada e processos de threat-informed defense estabelecidos — estarão em posição favorável para absorver o F3 com menor esforço de adaptação.
Absorva o F3 com menor esforço de adaptação
O MITRE F3 representa uma mudança estrutural na forma como times de segurança e prevenção a fraudes podem trabalhar juntos. Para um SOC no setor financeiro, o framework oferece sete pontos concretos de integração: detection engineering, threat intelligence, incident response, threat hunting, convergência com times de fraude e AML, gap analysis de controles e métricas padronizadas para liderança.
A barreira de adoção para times que já operam com ATT&CK é baixa. A estrutura é familiar; o que muda é o escopo e, com isso, a capacidade de enxergar o ciclo completo de um ataque que antes era visível apenas em fragmentos.
O F3 está disponível gratuitamente. A matriz completa, o bundle STIX 2.1 e a documentação de design estão acessíveis. Mergulhar para entendê-lo melhor é nosso papel.
