Архитектура обмана

FIST: как язык защиты стал сценарием атак

Обычный звонок

В июне 2025 года женщина из Варшавы получила голосовой звонок. Мужчина с официальным тоном представился сотрудником налоговой службы и сообщил: ей положен возврат налога.
Для подтверждения — нужно авторизоваться через ePUAP.
Она перешла по ссылке. Всё выглядело знакомо: логотип, поля, даже таймер, отсчитывающий время до закрытия “налогового окна”.

Через два часа её PESEL был использован для получения кредита в другой стране. Через три — её номер и голос уже стали частью следующей атаки.

Позже выяснится: звонок был сгенерирован голосовым ботом. Сценарий — прописан в .yaml. Интерфейс — клон ePUAP.
И всё это — строго по архитектуре FIST.


Что такое FIST

FIST не объясняет мошенничество. Он его проектирует.

6 июня 2025 года на arXiv выходит препринт: Fraud Incident Structured Threat (FIST) — попытка описывать социальную инженерию как инженерную структуру.
tactic → technique → indicator → context

Фреймворк должен был помочь системам безопасности распознавать поведенческие атаки так же точно, как технические.

Но уже через две недели тот же язык, те же структуры и YAML-файлы начинают появляться в даркнете.
Не как гипотеза.
Как боевые шаблоны атак.


Как язык защиты стал оружием

MITRE ATT&CK разложил хакерские методы по тактикам и техникам.
FIST сделал то же — только не с кодом, а с доверием.

Где раньше действовал человек — теперь работает сценарий:
нажатие на доверие, обработка страха, голосовая валидация.
Всё описано. А значит — всё передаётся.

Когда появился язык — появился и рынок.


XSS Forum: первый шаблон

Июнь 2025. Даркфорум XSS, раздел FraudTech.

Scenario-as-a-Service
Build full-scope fraud chain: webpage → voicebot → callback → exit. Scripted & adaptive. Hosted or API. Multi-language. Based on trust-layer modelling.

Под описанием — всё, что нужно.
И каждый этап совпадает с FIST:

  • webpagetactic

  • voicebottechnique

  • callbackindicator

  • exitcontext

Фреймворк уже работает. Даже если его не называют по имени.


Exploit.in: когда схема становится операцией

На форуме Exploit.in структура ещё прямее:

tactic: social_authority
technique: fake_compliance_call
indicator: urgency_timer
context: tax_refund_window

Ниже — три файла:

  • fraud_bot.yaml — параметры давления

  • eu_form_clone.html — визуальный клон ePUAP

  • otp_bypass_voice.js — сбор голосовых кодов

Это не proof-of-concept.
Это развёртываемый инцидент, настраиваемый через YAML.
FIST здесь — уже не модель.
Он — операционная система фрода.


Как работает атака по FIST

🧪 Пример: налоговый deepfake в Германии (июль 2025)

  1. tactic: уведомление от имени Bundeszentralamt für Steuern

  2. technique: звонок с deepfake-голосом «чиновника»

  3. indicator: предупреждение о просрочке возврата

  4. context: окно налоговых выплат до 30 июля

→ Жертва получает письмо и звонок
→ Переходит по ссылке на bzst-gov.eu
→ Вводит PESEL, IBAN
→ Активируется webhook с voice-confirmation
→ YAML-сценарий отрабатывает все 4 уровня за 6 минут
→ Данные уходят на сервер с API-флагом завершения


Что продаётся по FIST-логике

Июль 2025. Торговые боты на даркмаркете предлагают:

  • Gov Spoof Scenario — поддельные интерфейсы ePUAP, USCIS, eIDAS. HTML-клоны, голос, API.

  • Compliance Pressure Flow — звонок deepfake-бота от имени "налоговой". YAML-сценарий давления, триггеры паники.

  • Voice Phishing Kit — голосовой фишинг с адаптацией к реакции жертвы.

Формат всех лотов:

tactic: ...
technique: ...
indicator: ...
context: ...

Цена: от $400 за шаблон до $1500 за full-chain с голосом и хостингом.


Кто создал язык — и не отвечает за его утечку

FIST был разработан на стыке кибербезопасности, криминологии и поведенческой науки.
Авторы — специалисты MITRE, Chargebacks911 и нескольких университетов США.
Часть имён в препринте скрыта «по соображениям безопасности».

На вопросы о даркфорумных совпадениях — молчание.
Ни один из авторов не прокомментировал применение фреймворка в чёрном рынке.

Позже, в июле, формулировки в препринте были обновлены — стали менее конкретными.
Исходная версия сохранилась в кэше arXiv.

Один из пользователей Reddit в обсуждении FIST написал:
“Если это попадёт в даркнет — мошенничество станет open-source.”
Комментарий исчез через 8 часов.
Никто из авторов не отреагировал.

Это уже не просто “утечка”.
Это бесконтрольная публикация архитектуры атак.


Универсальность: атака может быть где угодно

Тот же YAML-файл легко локализуется:

  • ePUAP заменяется на gov.uk, IRS или FranceConnect

  • голос подбирается по языку и акценту

  • окно давления — подстраивается под местные сроки подачи налогов

Сценарий один. Страны разные.
FIST стал универсальным языком цифрового обмана.


Когда мошенничество стало инженерной задачей

FIST не «утёк». Он был выложен.
Открыто. В полном доступе.
С примерами, структурами, логикой передачи.

И как только обман получил структуру —
он стал программируемым.

Голос. Паника. Сценарий.
YAML. API. Захват. Исход.


Финал

Мошенничество больше не нужно придумывать.
Оно больше не требует актёров, убеждения, опыта.

Теперь это — сценарий, свёрстанный как конфигурация.
Он загружается. Адаптируется. Отрабатывается.

Когда мошенничество стало API,
оно перестало нуждаться в мошенниках.

Достаточно шаблона.
Достаточно голоса.

И того, кто поверит.


Natallia — digital identities observer
Спецвыпуск REESTR · Лето 2025

→ Telegram-канал REESTR

0
Subscribe to my newsletter

Read articles from Natallia Vasilyeva directly inside your inbox. Subscribe to the newsletter, and don't miss out.

Written by

Natallia Vasilyeva
Natallia Vasilyeva

I observe how the architecture of digital control embeds itself into interfaces. I write to give structure to what anxiety already senses.