Архитектура обмана


FIST: как язык защиты стал сценарием атак
Обычный звонок
В июне 2025 года женщина из Варшавы получила голосовой звонок. Мужчина с официальным тоном представился сотрудником налоговой службы и сообщил: ей положен возврат налога.
Для подтверждения — нужно авторизоваться через ePUAP.
Она перешла по ссылке. Всё выглядело знакомо: логотип, поля, даже таймер, отсчитывающий время до закрытия “налогового окна”.
Через два часа её PESEL был использован для получения кредита в другой стране. Через три — её номер и голос уже стали частью следующей атаки.
Позже выяснится: звонок был сгенерирован голосовым ботом. Сценарий — прописан в .yaml
. Интерфейс — клон ePUAP.
И всё это — строго по архитектуре FIST.
Что такое FIST
FIST не объясняет мошенничество. Он его проектирует.
6 июня 2025 года на arXiv выходит препринт: Fraud Incident Structured Threat (FIST) — попытка описывать социальную инженерию как инженерную структуру.
tactic → technique → indicator → context
Фреймворк должен был помочь системам безопасности распознавать поведенческие атаки так же точно, как технические.
Но уже через две недели тот же язык, те же структуры и YAML-файлы начинают появляться в даркнете.
Не как гипотеза.
Как боевые шаблоны атак.
Как язык защиты стал оружием
MITRE ATT&CK разложил хакерские методы по тактикам и техникам.
FIST сделал то же — только не с кодом, а с доверием.
Где раньше действовал человек — теперь работает сценарий:
нажатие на доверие, обработка страха, голосовая валидация.
Всё описано. А значит — всё передаётся.
Когда появился язык — появился и рынок.
XSS Forum: первый шаблон
Июнь 2025. Даркфорум XSS, раздел FraudTech.
Scenario-as-a-Service
Build full-scope fraud chain: webpage → voicebot → callback → exit. Scripted & adaptive. Hosted or API. Multi-language. Based on trust-layer modelling.
Под описанием — всё, что нужно.
И каждый этап совпадает с FIST:
webpage
→ tacticvoicebot
→ techniquecallback
→ indicatorexit
→ context
Фреймворк уже работает. Даже если его не называют по имени.
Exploit.in: когда схема становится операцией
На форуме Exploit.in структура ещё прямее:
tactic: social_authority
technique: fake_compliance_call
indicator: urgency_timer
context: tax_refund_window
Ниже — три файла:
fraud_bot.yaml
— параметры давленияeu_form_clone.html
— визуальный клон ePUAPotp_bypass_voice.js
— сбор голосовых кодов
Это не proof-of-concept.
Это развёртываемый инцидент, настраиваемый через YAML.
FIST здесь — уже не модель.
Он — операционная система фрода.
Как работает атака по FIST
🧪 Пример: налоговый deepfake в Германии (июль 2025)
tactic: уведомление от имени Bundeszentralamt für Steuern
technique: звонок с deepfake-голосом «чиновника»
indicator: предупреждение о просрочке возврата
context: окно налоговых выплат до 30 июля
→ Жертва получает письмо и звонок
→ Переходит по ссылке на bzst-gov.eu
→ Вводит PESEL, IBAN
→ Активируется webhook с voice-confirmation
→ YAML-сценарий отрабатывает все 4 уровня за 6 минут
→ Данные уходят на сервер с API-флагом завершения
Что продаётся по FIST-логике
Июль 2025. Торговые боты на даркмаркете предлагают:
Gov Spoof Scenario — поддельные интерфейсы ePUAP, USCIS, eIDAS. HTML-клоны, голос, API.
Compliance Pressure Flow — звонок deepfake-бота от имени "налоговой". YAML-сценарий давления, триггеры паники.
Voice Phishing Kit — голосовой фишинг с адаптацией к реакции жертвы.
Формат всех лотов:
tactic: ...
technique: ...
indicator: ...
context: ...
Цена: от $400 за шаблон до $1500 за full-chain с голосом и хостингом.
Кто создал язык — и не отвечает за его утечку
FIST был разработан на стыке кибербезопасности, криминологии и поведенческой науки.
Авторы — специалисты MITRE, Chargebacks911 и нескольких университетов США.
Часть имён в препринте скрыта «по соображениям безопасности».
На вопросы о даркфорумных совпадениях — молчание.
Ни один из авторов не прокомментировал применение фреймворка в чёрном рынке.
Позже, в июле, формулировки в препринте были обновлены — стали менее конкретными.
Исходная версия сохранилась в кэше arXiv.
Один из пользователей Reddit в обсуждении FIST написал:
“Если это попадёт в даркнет — мошенничество станет open-source.”
Комментарий исчез через 8 часов.
Никто из авторов не отреагировал.
Это уже не просто “утечка”.
Это бесконтрольная публикация архитектуры атак.
Универсальность: атака может быть где угодно
Тот же YAML-файл легко локализуется:
ePUAP заменяется на gov.uk, IRS или FranceConnect
голос подбирается по языку и акценту
окно давления — подстраивается под местные сроки подачи налогов
Сценарий один. Страны разные.
FIST стал универсальным языком цифрового обмана.
Когда мошенничество стало инженерной задачей
FIST не «утёк». Он был выложен.
Открыто. В полном доступе.
С примерами, структурами, логикой передачи.
И как только обман получил структуру —
он стал программируемым.
Голос. Паника. Сценарий.
YAML. API. Захват. Исход.
Финал
Мошенничество больше не нужно придумывать.
Оно больше не требует актёров, убеждения, опыта.
Теперь это — сценарий, свёрстанный как конфигурация.
Он загружается. Адаптируется. Отрабатывается.
Когда мошенничество стало API,
оно перестало нуждаться в мошенниках.Достаточно шаблона.
Достаточно голоса.И того, кто поверит.
Natallia — digital identities observer
Спецвыпуск REESTR · Лето 2025
Subscribe to my newsletter
Read articles from Natallia Vasilyeva directly inside your inbox. Subscribe to the newsletter, and don't miss out.
Written by

Natallia Vasilyeva
Natallia Vasilyeva
I observe how the architecture of digital control embeds itself into interfaces. I write to give structure to what anxiety already senses.