# Архитектура обмана


> FIST: как язык защиты стал сценарием атак

### Обычный звонок

В июне 2025 года женщина из Варшавы получила голосовой звонок. Мужчина с официальным тоном представился сотрудником налоговой службы и сообщил: ей положен возврат налога.  
Для подтверждения — нужно авторизоваться через ePUAP.  
Она перешла по ссылке. Всё выглядело знакомо: логотип, поля, даже таймер, отсчитывающий время до закрытия “налогового окна”.

Через два часа её PESEL был использован для получения кредита в другой стране. Через три — её номер и голос уже стали частью следующей атаки.

Позже выяснится: звонок был сгенерирован голосовым ботом. Сценарий — прописан в `.yaml`. Интерфейс — клон ePUAP.  
И всё это — строго по архитектуре FIST.

---

### Что такое FIST

FIST не объясняет мошенничество. Он его **проектирует**.

6 июня 2025 года на arXiv выходит препринт: *Fraud Incident Structured Threat (FIST)* — попытка описывать социальную инженерию как инженерную структуру.  
**tactic → technique → indicator → context**

Фреймворк должен был помочь системам безопасности распознавать поведенческие атаки так же точно, как технические.

Но уже через две недели тот же язык, те же структуры и YAML-файлы начинают появляться в даркнете.  
Не как гипотеза.  
Как **боевые шаблоны атак**.

---

### Как язык защиты стал оружием

MITRE ATT&CK разложил хакерские методы по тактикам и техникам.  
FIST сделал то же — только не с кодом, а с доверием.

Где раньше действовал человек — теперь работает сценарий:  
нажатие на доверие, обработка страха, голосовая валидация.  
Всё описано. А значит — **всё передаётся**.

Когда появился язык — появился и **рынок**.

---

### XSS Forum: первый шаблон

Июнь 2025. Даркфорум XSS, раздел *FraudTech*.

> **Scenario-as-a-Service**  
> *Build full-scope fraud chain: webpage → voicebot → callback → exit. Scripted & adaptive. Hosted or API. Multi-language. Based on trust-layer modelling.*

Под описанием — всё, что нужно.  
И каждый этап совпадает с FIST:

* `webpage` → *tactic*
    
* `voicebot` → *technique*
    
* `callback` → *indicator*
    
* `exit` → *context*
    

Фреймворк уже работает. Даже если его не называют по имени.

---

### Exploit.in: когда схема становится операцией

На форуме Exploit.in структура ещё прямее:

```plaintext
tactic: social_authority
technique: fake_compliance_call
indicator: urgency_timer
context: tax_refund_window
```

Ниже — три файла:

* `fraud_bot.yaml` — параметры давления
    
* `eu_form_clone.html` — визуальный клон ePUAP
    
* `otp_bypass_voice.js` — сбор голосовых кодов
    

Это не proof-of-concept.  
Это **развёртываемый инцидент**, настраиваемый через YAML.  
FIST здесь — уже не модель.  
Он — **операционная система фрода**.

---

### Как работает атака по FIST

![](https://cdn.hashnode.com/res/hashnode/image/upload/v1752470043706/955f52a3-62cd-4e30-9053-4041094e7dd4.png align="center")

🧪 *Пример: налоговый deepfake в Германии (июль 2025)*

1. **tactic:** уведомление от имени *Bundeszentralamt für Steuern*
    
2. **technique:** звонок с deepfake-голосом «чиновника»
    
3. **indicator:** предупреждение о просрочке возврата
    
4. **context:** окно налоговых выплат до 30 июля
    

→ Жертва получает письмо и звонок  
→ Переходит по ссылке на `bzst-gov.eu`  
→ Вводит PESEL, IBAN  
→ Активируется webhook с voice-confirmation  
→ YAML-сценарий отрабатывает все 4 уровня за 6 минут  
→ Данные уходят на сервер с API-флагом завершения

---

### Что продаётся по FIST-логике

Июль 2025. Торговые боты на даркмаркете предлагают:

* **Gov Spoof Scenario** — поддельные интерфейсы ePUAP, USCIS, eIDAS. HTML-клоны, голос, API.
    
* **Compliance Pressure Flow** — звонок deepfake-бота от имени "налоговой". YAML-сценарий давления, триггеры паники.
    
* **Voice Phishing Kit** — голосовой фишинг с адаптацией к реакции жертвы.
    

Формат всех лотов:

```plaintext
tactic: ...
technique: ...
indicator: ...
context: ...
```

**Цена:** от $400 за шаблон до $1500 за full-chain с голосом и хостингом.

---

### Кто создал язык — и не отвечает за его утечку

FIST был разработан на стыке кибербезопасности, криминологии и поведенческой науки.  
Авторы — специалисты MITRE, Chargebacks911 и нескольких университетов США.  
Часть имён в препринте скрыта «по соображениям безопасности».

На вопросы о даркфорумных совпадениях — **молчание**.  
Ни один из авторов не прокомментировал применение фреймворка в чёрном рынке.

Позже, в июле, формулировки в препринте были обновлены — стали менее конкретными.  
Исходная версия сохранилась в кэше arXiv.

> Один из пользователей Reddit в обсуждении FIST написал:  
> *“Если это попадёт в даркнет — мошенничество станет open-source.”*  
> Комментарий исчез через 8 часов.  
> Никто из авторов не отреагировал.

Это уже не просто “утечка”.  
Это **бесконтрольная публикация архитектуры атак**.

---

### Универсальность: атака может быть где угодно

Тот же YAML-файл легко локализуется:

* ePUAP заменяется на gov.uk, IRS или FranceConnect
    
* голос подбирается по языку и акценту
    
* окно давления — подстраивается под местные сроки подачи налогов
    

Сценарий один. Страны разные.  
FIST стал **универсальным языком цифрового обмана**.

---

### Когда мошенничество стало инженерной задачей

FIST не «утёк». Он был выложен.  
Открыто. В полном доступе.  
С примерами, структурами, логикой передачи.

И как только обман получил структуру —  
он стал **программируемым**.

Голос. Паника. Сценарий.  
YAML. API. Захват. Исход.

---

### Финал

Мошенничество больше не нужно придумывать.  
Оно больше не требует актёров, убеждения, опыта.

Теперь это — **сценарий**, свёрстанный как конфигурация.  
Он загружается. Адаптируется. Отрабатывается.

> Когда мошенничество стало API,  
> оно перестало нуждаться в мошенниках.  
>   
> Достаточно шаблона.  
> Достаточно голоса.  
>   
> И того, кто поверит.

---

*Natallia — digital identities observer*  
Спецвыпуск REESTR · Лето 2025

[→ Telegram-канал REESTR](https://t.me/reestr_signal)
