Framework MITRE F3: Prevenção de Fraudes Financeiras

Resumo:

• O MITRE F3 é um modelo comportamental de táticas e técnicas de fraude financeira que oferece uma estrutura comum para equipes antifraude e de segurança cibernética atuarem de forma coordenada.
• O framework foi derivado de iniciativas precursoras como o FS-ISAC Cyber Fraud Prevention Framework, a NRF Retail Fraud Taxonomy e o Verizon DBIR.
• Na fraude financeira, o ataque não termina na invasão. É preciso converter o acesso em dinheiro real, o que envolve etapas como preparo de contas de destino e canais difíceis de rastrear.
• O F3 mapeia fraudes como BEC, Account Takeover e pig butchering, em cada etapa dessas fraudes, desde o reconhecimento até a monetização.

Em março de 2026, o MITRE Center for Threat-Informed Defense lançou o Fight Fraud Framework (F3): uma base de conhecimento estruturada de táticas, técnicas e procedimentos usados por atores de fraude financeira.

O F3 faz pelo mundo da fraude o que o ATT&CK fez pelo mundo das ameaças cibernéticas: cria uma linguagem comum, mapeia o comportamento do adversário e oferece uma estrutura que permite comparar incidentes, priorizar defesas e emular ameaças reais.

Entenda o que é o F3, por que ele é relevante para equipes de segurança e a importância de aplicá-lo no cenário financeiro.

MITRE F3 na prevenção à fraude financeira

Fraude financeira e cibersegurança sempre foram tratadas como disciplinas separadas dentro das organizações. O time de segurança monitorava ataques a sistemas e infraestrutura e o time antifraude monitorava transações suspeitas e comportamento anômalo de clientes.

Cada equipe tinha seus próprios sistemas de detecção, suas próprias métricas e sua própria linguagem para descrever ameaças.

O problema com essa separação é que os ataques modernos de fraude financeira não respeitam essa divisão.

Um ataque de Business Email Compromise (BEC) começa com comprometimento de uma conta corporativa via phishing, passa por movimentação lateral na rede, culmina em engenharia social com o departamento financeiro e termina em uma transferência bancária fraudulenta.

Esse ataque cruza o domínio da cibersegurança e o domínio da fraude financeira sem distinção, mas as duas equipes frequentemente só enxergam a parte que monitoram.

O MITRE identificou esse gap em 2025 e desenvolveu o F3 durante todo o ano, com publicação inicial em março de 2026. A constatação central do projeto é: não existe uma enumeração abrangente e detalhada de táticas e técnicas de fraude financeira equivalente ao que o ATT&CK oferece para ameaças empresariais.

Sem uma linguagem comum, as equipes de segurança cibernética e as equipes antifraude acabam operando de forma isolada, o que cria uma lacuna que nenhuma das duas consegue preencher.

De onde o F3 vem: CTID, ATT&CK e os frameworks antecessores

O MITRE Center for Threat-Informed Defense (CTID) é uma organização de pesquisa sem fins lucrativos, operada pela MITRE e financiada por empresas privadas do setor.

Seu trabalho mais conhecido é o MITRE ATT&CK, uma base de conhecimento de táticas e técnicas adversárias usadas em ataques reais, que se tornou o padrão da indústria para descrição de comportamento de ameaças.

O MITRE F3 nasce da aplicação dessa mesma abordagem ao domínio específico da fraude financeira.

O framework foi derivado de trabalhos anteriores que já tentavam estruturar o espaço, incluindo o FS-ISAC Cyber Fraud Prevention Framework (da associação de segurança do setor financeiro), a National Retail Federation Retail Fraud Taxonomy (taxonomia de fraude no varejo), e os dados do Verizon Data Breach Investigations Report.

O F3 une e analisa essas fontes em uma linguagem comum de táticas e técnicas.

O projeto foi desenvolvido com contribuições de membros do CTID, incluindo grandes instituições financeiras, provedores de pagamento e empresas especializadas em prevenção de fraude. A Group-IB, por exemplo, contribuiu com sua própria biblioteca de táticas e técnicas de fraude derivada de investigações ativas e colaboração com bancos e agências de lei, como Interpol e Europol.

Relação com o ATT&CK

O MITRE F3 complementa o ATT&CK. Os atores de fraude usam algumas técnicas que já existem no ATT&CK (como Phishing, Credential Dumping ou Account Manipulation) combinadas com técnicas específicas de fraude que não têm equivalente no ATT&CK. O F3 referencia e refina as técnicas existentes do ATT&CK quando aplicáveis e adiciona novo conteúdo para comportamentos sem correspondência.

As táticas do MITRE F3: o que é novo e o que veio do ATT&CK

O F3 organiza o comportamento dos atores de fraude em táticas, da mesma forma que o ATT&CK organiza o comportamento de adversários cibernéticos. Algumas táticas são adaptadas diretamente do ATT&CK com definições ajustadas para o contexto de fraude.

Reconhecimento

Essa etapa coleta informações sobre o alvo antes do ataque. Isso inclui pesquisa de vítimas individuais, identificação de funcionários com acesso financeiro, mapeamento de processos internos de aprovação e coleta de dados pessoais para uso em engenharia social.

Desenvolvimento de Recursos

Aquisição de infraestrutura, identidades e ferramentas para executar a fraude. Inclui a criação de identidades falsas, a compra de dados vazados, a criação de sites fraudulentos, a obtenção de contas de money mule e o desenvolvimento de malwares de captura.

Acesso Inicial

É o estágio de obtenção de acesso ao ambiente da vítima ou ao canal pelo qual a fraude será executada. Isso frequentemente acontece via phishing direcionado (spear phishing), comprometimento de conta por credencial roubada ou abuso de canais legítimos como e-mail e aplicativos.

Execução

É a execução de ações que iniciam o evento de fraude. Inclui o envio de e-mail fraudulento se passando por executivo (BEC), a autorização de transação via canal comprometido, ou o acionamento de processos de pagamento por engenharia social.

Evasão de Defesa

São as técnicas para evitar a detecção pelos controles antifraude e de segurança. Envolve o uso de dispositivos e IPs legítimos, a sincronização com horários de trabalho normais, o uso de contas comprometidas de usuários reais e o fracionamento de transações para evitar limites de alerta.

Duas táticas são inteiramente novas, específicas do MITRE F3, e representam o que distingue um ataque de fraude de um ataque cibernético convencional.

Posicionamento

É uma tática exclusiva do F3, com ações pós-comprometimento voltadas para coletar e manipular dados e preparar a execução da fraude, como a identificação de contas com maior saldo, mapeamento de processos de aprovação, coleta de credenciais bancárias, falsificação de identidade e preparação de documentos falsos. É o que o ator de fraude faz entre o acesso inicial e a monetização.

Monetização

São atividades que o ator de fraude executa para converter os ativos comprometidos em valor utilizável. Inclui transferência bancária fraudulenta, saque via money mule, uso de criptomoedas para lavagem, compra de gift cards, fraude em reembolsos e resgate de pontos de fidelidade. É o objetivo final do ataque de fraude.

Por que posicionamento e monetização são inovadores?

No ATT&CK, o objetivo final de um ataque cibernético genérico muitas vezes termina em exfiltração ou impacto.

Já na fraude financeira, o sucesso do ataque depende de converter o acesso em dinheiro real, o que envolve uma cadeia de etapas que o ATT&CK não captura: a preparação das contas de destino, a movimentação via money mules, e o uso de canais que dificultam o rastreamento.

O MITRE F3 é o único framework que mapeia essa cadeia.

Os tipos de fraude que o MITRE F3 mapeia

O F3 foi construído modelando atividades de fraude documentadas em incidentes reais. Os principais tipos cobertos pelo framework são:

Business Email Compromise (BEC)

Com base em uma análise de dados do FBI, o BEC é o segundo crime cibernético mais custoso financeiramente em 2025, representando mais de US$3 bilhões em perdas. O ataque funciona comprometendo ou falsificando o e-mail de um executivo ou fornecedor para solicitar transferências bancárias fraudulentas ao departamento financeiro.

No F3, o BEC mapeia táticas de reconhecimento (identificar quem tem autoridade financeira), acesso inicial (comprometer o e-mail do executivo), posicionamento (estudar padrões de comunicação e timing) e monetização (dirigir o pagamento para conta controlada pelo atacante).

Engenharia Social e Account Takeover

Account Takeover (ATO) é o comprometimento de uma conta legítima de usuário para executar fraudes em nome da vítima.

Em sistemas bancários, isso inclui o acesso à conta via credenciais roubadas, a adição de novo beneficiário e a transferência de fundos.

O F3 mapeia a cadeia completa: coleta de credenciais (Reconhecimento), comprometimento da conta (Acesso Inicial), análise do saldo e limites disponíveis (Posicionamento), e execução da transferência (Monetização).

Lavagem de Dinheiro e Cash Out

A etapa de monetização do MITRE F3 é onde a lavagem de dinheiro ocorre.

Money mules são recrutados para receber e repassar fundos fraudulentos, dificultando o rastreamento; gift cards, criptomoedas e saques em dinheiro vivo são técnicas de cash out que convertem o dinheiro eletrônico em ativos difíceis de recuperar.

O F3 documenta cada técnica de cash out como uma entrada da tática de monetização.

Pig Butchering e Fraudes de Investimento

O “pig butchering” (abate do porco) é uma fraude de longo prazo em que o atacante constrói um relacionamento de confiança com a vítima ao longo de semanas ou meses, geralmente via aplicativos de encontro ou redes sociais, antes de convencê-la a investir em plataformas falsas de criptomoeda.

O MITRE F3 mapeia o longo período de Reconhecimento e Posicionamento característicos desse ataque, incluindo a gestão de múltiplas vítimas simultaneamente por grupos organizados.

MITRE F3 vs. MITRE ATT&CK: como os dois se complementam

O F3 e o ATT&CK atuam em conjunto. O ATT&CK cobre a parte técnica do ataque, como o comprometimento de sistemas e redes. Já o F3 cobre o que vem depois: as etapas específicas de fraude financeira que transformam esse acesso em ganho monetário.

Como usar o F3

Para equipes de segurança (SOC e Threat Intelligence)

O F3 oferece um vocabulário comum para descrever incidentes de fraude em linguagem que as equipes de segurança já conhecem.

Quando um analista de SOC detecta comprometimento de conta seguido de adição de beneficiário bancário, ele pode mapear esse evento para as táticas F3 correspondentes e entender o contexto mais amplo: o que provavelmente aconteceu antes (Reconhecimento, Desenvolvimento de Recursos) e o que está prestes a acontecer (Monetização).

• Detecção orientada ao comportamento: criar regras de detecção baseadas em técnicas F3 em vez de indicadores de comprometimento (IoCs) que mudam rapidamente. Um ator de fraude pode mudar de IP e domínio, mas as técnicas de Posicionamento e Monetização permanecem.
• Correlação de alertas: usar o F3 para correlacionar alertas de segurança com alertas antifraude que, individualmente, parecem não relacionados. Comprometimento de e-mail detectado pelo SOC + novo beneficiário adicionado detectado pelo antifraude = BEC em andamento.
• Threat hunting proativo: usar as táticas F3 para caçar ativamente sinais de posicionamento em ambiente comprometido antes que a Monetização aconteça.

Para equipes antifraude

Equipes antifraude geralmente operam com regras baseadas em dados transacionais: valor atípico, novo beneficiário, e horário incomum. O F3 complementa essas regras com contexto comportamental: por que o ator está fazendo isso, qual etapa da cadeia esse evento representa, e qual é o próximo movimento esperado.

• Linguagem compartilhada com o SOC: quando um analista antifraude detecta cash out incomum, ele pode comunicar o evento ao SOC usando terminologia F3 que ambos entendem, acelerando a resposta e a investigação conjunta.
• Priorização de investigações: eventos mapeados em táticas de Monetização têm prioridade máxima, pois representam a etapa final antes da perda se tornar irreversível.
• Melhoria de controles: mapear os controles antifraude existentes às táticas F3 revela lacunas, como em quais táticas a organização tem cobertura e em quais não tem.

Para red teams e equipes ofensivas

Para pentesters e equipes de red team que trabalham com clientes do setor financeiro, o F3 oferece um roteiro de emulação de adversário específico para fraude.

Diferente de um red team convencional que testa controles de segurança de rede e endpoint, uma emulação F3 testa a cadeia completa: do reconhecimento à monetização, verificando se os controles antifraude e de segurança juntos conseguem detectar e interromper o ataque antes que o cash out aconteça.

• Emulação de BEC: usar F3 para estruturar exercícios de phishing direcionado que terminam em tentativas de transferência, testando tanto os controles técnicos quanto os processos humanos de verificação de pagamentos.
• Purple team com F3: red team executa técnicas F3, blue team usa o framework para mapear detecções, gerando um mapeamento de cobertura de quais técnicas são detectadas e quais não são.
• Relatórios mais contextualizados: usar F3 para descrever achados de engajamentos financeiros situa cada vulnerabilidade na cadeia de ataque de fraude, aumentando o impacto do relatório para as equipes de negócio e compliance.

O roadmap do F3: o que vem depois da publicação inicial

O CTID deixou claro que a publicação de março de 2026 é apenas o ponto de partida. O roadmap anunciado para as próximas iterações inclui:

• Técnicas adicionais de fraudadores: a base inicial cobre os tipos de fraude mais prevalentes documentados. Nas próximas versões, novas técnicas serão adicionadas à medida que novos padrões de fraude forem documentados por contribuidores.
• Fontes de dados e detecções: cada técnica do F3 receberá mapeamentos para fontes de dados que permitem detectá-la, similar ao que o ATT&CK faz com seus mapeamentos de detecção.
• Mitigações: controles específicos para reduzir o dano de cada técnica, orientando equipes a priorizar os investimentos em controles antifraude.
• Expansão setorial: o CTID anunciou planos de expandir o F3 para fraude no varejo, fraude em benefícios de saúde e fraude na aviação, além do foco inicial em fraude financeira.
• Integração com ATLAS e outros frameworks: o CTID trabalha em conjunto com outras iniciativas como o MITRE ATLAS (IA) e AADAPT (criptoativos), criando um ecossistema de frameworks complementares.

Você sabia que é possível contribuir com o F3?

O MITRE CTID mantém o repositório no GitHub e convida contribuições de profissionais de fraude, instituições financeiras e pesquisadores de segurança. Contribuições podem incluir novas técnicas documentadas, feedback sobre técnicas existentes e exemplos de uso do framework em investigações reais.

O framework é aberto, gratuito e disponível aqui. Para profissionais de segurança ofensiva, vale a leitura completa das táticas de Posicionamento e Monetização: elas descrevem o que acontece depois do comprometimento, que é exatamente a parte do ataque que mais frequentemente não é coberta em um pentest convencional.

F3 e o contexto de fraude financeira no Brasil

O Brasil é um dos países com maior volume de fraude financeira digital do mundo. Segundo dados do Banco Central e da Febraban, o Pix é o sistema de pagamentos com maior volume de tentativas de fraude no país: mais de 31 bilhões de reais em tentativas de golpe foram bloqueadas pelas instituições financeiras em 2023.

O ambiente brasileiro tem características específicas que tornam o F3 particularmente relevante.

• Pix como vetor de monetização: a imediatidade do Pix torna a etapa de Monetização especialmente crítica. Diferentemente de transferências TED, que levam até um dia útil e podem ser revertidas, uma transferência Pix fraudulenta pode ser cash out em segundos. O F3 pode estruturar controles específicos para essa característica.
• Golpe do falso suporte técnico: amplamente disseminado no Brasil, onde atores se passam por funcionários de banco ou de suporte para convencer vítimas a autorizar transações. Essa técnica mapeia diretamente para as táticas de Engenharia Social do MITRE F3.
• Clonagem de WhatsApp: técnica de Account Takeover específica do Brasil, em que o número de WhatsApp da vítima é clonado e usado para solicitar dinheiro urgente a contatos. O F3 pode estruturar a detecção dessa cadeia completa.
• LGPD e compliance: o F3 pode ser usado como insumo para mapear quais dados de clientes precisam ser protegidos para prevenir fraudes específicas, conectando o framework ao contexto regulatório brasileiro.

A Vantico acompanha de perto a evolução dos frameworks de segurança ofensiva e de inteligência de ameaças. O F3 representa uma mudança importante no setor financeiro: pela primeira vez, equipes antifraude e equipes de segurança têm um framework comum para descrever o mesmo ataque.

Para nossos clientes do setor financeiro, o F3 oferece um roteiro para emulação de adversário mais fiel à realidade: red teams que mapeiam suas campanhas às táticas do F3 produzem resultados que fazem sentido tanto para o CISO quanto para o diretor de prevenção a fraudes, eliminando a barreira histórica entre as duas disciplinas.

Descubra como os serviços da Vantico podem contribuir clicando aqui.

Perguntas frequentes

O que é o MITRE F3 Fight Fraud Framework?

O MITRE F3 (Fight Fraud Framework) é uma base de conhecimento estruturada de táticas, técnicas e procedimentos (TTPs) usados por atores de fraude financeira, desenvolvida pelo MITRE Center for Threat-Informed Defense (CTID) e publicada em março de 2026.

O F3 faz pelo domínio da fraude financeira o que o MITRE ATT&CK fez pelo domínio das ameaças cibernéticas: cria uma linguagem comum para descrever o comportamento do adversário, permitindo que equipes de segurança e equipes antifraude compartilhem um vocabulário e coordenem suas defesas.

O framework mapeia sete táticas: Reconhecimento, Desenvolvimento de Recursos, Acesso Inicial, Execução, Evasão de Defesa, Posicionamento e Monetização, sendo as duas últimas inovações do F3.

Qual a diferença entre o MITRE F3 e o MITRE ATT&CK?

O MITRE ATT&CK documenta táticas e técnicas de adversários focados em comprometimento de sistemas e redes empresariais. O F3 complementa o ATT&CK adicionando comportamentos específicos de fraude financeira que o ATT&CK não cobre, especialmente o que acontece após o comprometimento inicial: como o ator de fraude identifica contas com saldo, prepara contas de destino, recruta money mules e converte o acesso em dinheiro real. As táticas de Posicionamento e Monetização do F3 não têm equivalente no ATT&CK.

Os dois frameworks fazem referência um ao outro: um ataque de Business Email Compromise (BEC), por exemplo, pode ser descrito usando técnicas do ATT&CK para a fase de comprometimento de e-mail e técnicas do F3 para as fases de preparação e execução da fraude.

Quais tipos de fraude o MITRE F3 cobre?

O F3 foi construído com base em incidentes de fraude financeira documentados e cobre principalmente: Business Email Compromise (BEC), Account Takeover (ATO), pig butchering e fraudes de investimento em criptomoeda, lavagem de dinheiro e técnicas de cash out, e fraudes em sistemas de pagamento.

O framework foi derivado de fontes como o FS-ISAC Cyber Fraud Prevention Framework, a National Retail Federation Retail Fraud Taxonomy e dados do Verizon DBIR, além de contribuições da Group-IB baseadas em investigações ativas.

O que são as táticas de Posicionamento e Monetização no MITRE F3?

Posicionamento e Monetização são as duas táticas exclusivas do F3, sem equivalente no MITRE ATT&CK, e representam a principal contribuição do framework.

O Posicionamento (tática pós-comprometimento) cobre o que o ator de fraude faz entre obter acesso e executar a fraude: identificar contas com maior saldo, mapear processos de aprovação financeira, falsificar identidades e preparar documentos falsos.

A Monetização cobre as ações para converter o acesso comprometido em valor utilizável: transferências bancárias fraudulentas, cash out via money mules, uso de criptomoedas para lavagem, compra de gift cards e resgate de pontos de fidelidade.

No ATT&CK, o objetivo final de um ataque termina em Exfiltração ou Impacto. No F3, o objetivo final é dinheiro real, e a cadeia para chegar lá é documentada de forma granular.

Como o MITRE F3 pode ser usado por equipes de segurança?

O F3 tem três aplicações práticas principais para equipes de segurança. Primeiro, detecção orientada a comportamento: criar regras de detecção baseadas nas técnicas F3 em vez de indicadores de comprometimento (IoCs) que mudam rapidamente, um ator de fraude pode trocar de IP e domínio, mas as técnicas de Posicionamento e Monetização permanecem estáveis.

Segundo, correlação de alertas entre SOC e antifraude: um alerta de comprometimento de e-mail detectado pelo SOC combinado com um alerta de novo beneficiário adicionado detectado pelo sistema antifraude pode ser mapeado para um BEC em andamento.

Terceiro, threat hunting proativo: usar as táticas F3 para buscar sinais de Posicionamento em ambientes comprometidos antes que a Monetização aconteça.

Quem desenvolveu o MITRE F3 Framework?

O MITRE F3 foi desenvolvido pelo MITRE Center for Threat-Informed Defense (CTID), a mesma organização responsável pelo MITRE ATT&CK. O projeto foi conduzido ao longo de 2025 e publicado em março de 2026, com contribuições de membros do CTID incluindo grandes instituições financeiras, provedores de pagamento e empresas especializadas em prevenção de fraude.

O MITRE F3 substitui o ATT&CK para organizações financeiras?

Não. O F3 não substitui o ATT&CK, mas é um complemento. Organizações do setor financeiro continuam precisando do ATT&CK para mapear ameaças cibernéticas convencionais, como o comprometimento de infraestrutura, ransomware, ataques a supply chain. O F3 adiciona cobertura para a camada de fraude financeira que o ATT&CK não alcança.