elchacal801/flame-fraud

# FLAME -- 欺诈生命周期分析与缓解交换平台 **大家都构建了字典，却没人建立图书馆。** 在 2025 年 4 月至 2026 年 2 月期间，五个组织独立得出结论，认为欺诈需要结构化的分类法框架。Stripe 发布了 FT3（随后将其废弃）。MITRE 宣布了 F3（尚未发布）。Group-IB 发布了 Fraud Matrix 2.0（设有商业门槛）。FS-ISAC 召集了 300 多名成员制定 Cyber Fraud Prevention Framework。分类法层面正在趋于一致，但在开源领域，社区知识交换层面仍然完全空白。 FLAME 填补了这一空白。 ## 什么是 FLAME？ FLAME 是一个开源、社区驱动的平台，用于共享结构化的欺诈检测情报。它不依赖于特定框架：每条提交的内容都会同时映射到多个欺诈分类法，以便从业者使用其组织采用的任何框架。 **支持的框架：** | Framework | Status | |-----------|--------| | FS-ISAC Cyber Fraud Prevention Framework (CFPF) | 主要结构 -- 所有提交均已映射 | | MITRE ATT&CK | 适用处的补充映射 | | Group-IB Fraud Matrix 2.0 | 交叉引用映射（阶段名称） | | Stripe FT3 | 已映射 (33/33 TPs) -- 通过 ft3_mapper.py 自动映射 | | Group-IB UCFF | 防御侧成熟度对齐 | | MITRE F3 | 占位符（将在发布时映射） | **FLAME 不是什么：** FLAME 不是一个分类法项目。它是一个位于现有分类法之上的知识交换平台，提供任何分类法本身都无法提供的作战情报——威胁路径、检测查询、调查手册和跨团队关联指导。 ## 架构 FLAME 以 THOR Collective 创建的威胁狩猎假设交换平台 [HEARTH](https://github.com/THOR-Collective/HEARTH) 为模型。 - **Markdown 优先**：威胁路径被编写为带有 YAML frontmatter 的结构化 markdown 文件。Markdown 是事实来源。 - **数据库是派生的**：一个 Python 构建脚本解析 markdown，构建 SQLite 索引，并为前端导出 JSON。每次推送时都会重新生成数据库。 - **静态前端**：通过 GitHub Pages 提供的原生 HTML/CSS/JS 前端。无构建步骤，无框架依赖。 - **生态互操作性**：构建时导出会生成 STIX 2.1 包、MISP galaxy/feed 以及兼容 TAXII 2.1 的端点。 - **CI/CD**：GitHub Actions 验证 PR 提交，自动重建数据库，并在合并后重新生成所有导出工件。 ``` ThreatPaths/ Fraud scheme lifecycle mappings (33 TPs) Baselines/ Environmental profiling (BL-XXXX) DetectionLogic/ Rules, queries, analytics (67 DL rules) Templates/ Submission templates config/ Regulatory requirements and source configs scripts/ Build, validation, and export scripts database/ Generated artifacts (auto-built) ├─ flame-index.json Metadata-only index (fast load) ├─ flame-content/ Individual TP content files (lazy load) ├─ flame-stats.json Pre-computed aggregate statistics ├─ flame_stix_bundle.json STIX 2.1 bundle with fraud extensions ├─ flame_detection_rules.json STIX detection rule bundle ├─ sigma-exports/ Sigma packs (SPL, Lucene, KQL) ├─ misp-feed/ Per-TP MISP event files + manifest └─ regulatory-alerts.json Automated regulatory alert feed data/misp/ MISP galaxy and cluster definitions api/ ├─ v1/ Static JSON API (106 endpoints) └─ taxii/ TAXII 2.1 discovery, collections, objects docs/ Project documentation, designs, and plans .github/ Workflows and issue templates ``` ## 生态系统集成 (v0.5 SIGNAL) FLAME 生成标准格式的输出，以便与威胁情报平台集成： **STIX 2.1 Fraud Extension** -- 4 个自定义 SDO（`x-flame-fraud-scheme`、`x-flame-financial-transaction`、`x-flame-mule-network`、`x-flame-fraud-actor-profile`）以及 5 种欺诈特定关系类型。参见 [STIX-FRAUD-EXTENSION.md](docs/STIX-FRAUD-EXTENSION.md)。 **MISP Galaxy & Feed** -- 一个包含 33 个集群条目且交叉引用到 MITRE ATT&CK 的可订阅 MISP galaxy，以及位于 `database/misp-feed/` 的每个 TP 事件 Feed。 **TAXII 2.1 Endpoints** -- 位于 `api/taxii/` 的静态 TAXII 2.1 兼容文件，包含 3 个集合（threat paths、作为 course-of-action SDOs 的 detection rules、baselines），支持从任何 TIP（MISP、OpenCTI、ThreatConnect）进行自动同步。 **Regulatory Compliance Mapping** -- 跨 6 个司法管辖区（欧盟、英国、美国、新加坡、澳大利亚、国际）的 15 项法规通过 `regulatory_refs` frontmatter 映射到相关威胁路径。 **Sigma Detection Packs** -- 通过 pySigma 导出到 Splunk SPL、Elastic Lucene 和 Microsoft Sentinel KQL 的 67 条检测规则。使用聚合/关联语法的规则包含伪代码回退导出及 SIEM 特定的实施指导。 ## 威胁路径集合 FLAME 附带 **33 条威胁路径**和 **67 条检测规则**，覆盖 15 个行业的主要欺诈类别： | ID | Scheme | Key Fraud Types | |----|--------|-----------------| | TP-0001 | Treasury Management ATO via Malvertising | ATO, vishing, wire fraud | | TP-0002 | BEC -- Vendor Impersonation Wire Fraud | BEC, invoice fraud | | TP-0003 | Synthetic Identity -- Credit Card Bust-Out | Synthetic identity, application fraud | | TP-0004 | Payroll Diversion via HR Portal Compromise | Payroll diversion, BEC | | TP-0005 | Insurance Premium Diversion via Agent Portal ATO | ATO, premium diversion | | TP-0006 | Real Estate Wire Fraud -- Closing Scam | BEC, wire fraud | | TP-0007 | Deepfake Voice Authorization for Wire Transfer | Deepfake, impersonation | | TP-0008 | SIM Swap to Cryptocurrency Exchange ATO | ATO, crypto laundering | | TP-0009 | Check Washing and Fraudulent Mobile Deposit | Check fraud | | TP-0010 | Disability Insurance Fraud | Fraudulent claims | | TP-0011 | Romance Scam to Money Mule Recruitment | Romance scam, money mule | | TP-0012 | APP Fraud -- Tech Support / Bank Impersonation | Vishing, impersonation | | TP-0013 | Credential Stuffing to Loyalty Point Drain | Credential stuffing, ATO | | TP-0014 | Insider-Enabled Account Fraud | Insider threat, collusion | | TP-0015 | Employment Fraud via Brand Impersonation | Job scam, identity theft | | TP-0016 | First-Party Fraud (Bust-Out) | Bust-out, first-party fraud | | TP-0017 | Pig Butchering (Investment Scam) | Investment scam, romance scam | | TP-0018 | Deepfake Document Fraud | Deepfake fraud, documentary fraud | | TP-0019 | Business Identity Theft | Identity theft, application fraud | | TP-0020 | Supply Chain Payment Fraud | BEC, vendor impersonation | | TP-0021 | Healthcare Provider Billing Fraud | Healthcare fraud, phantom billing | | TP-0022 | Government Program Fraud | Benefit fraud, tax fraud | | TP-0023 | Mobile Banking Trojan / Overlay Attack | Malware, ATO | | TP-0024 | A2A Instant Payment Fraud (Zelle/FedNow/Pix) | APP, unauthorized transaction | | TP-0025 | GenAI-Enhanced APP Fraud -- Romance Variant | Romance scam, deepfake | | TP-0026 | GenAI-Enhanced APP Fraud -- Investment Variant | Investment scam, deepfake | | TP-0027 | Elder Financial Exploitation | Social engineering, APP | | TP-0028 | DME Phantom Billing (Medicare Fraud) | Healthcare fraud, phantom billing | | TP-0029 | AI Synthetic Identity & Document Forgery | Synthetic identity, deepfake fraud | | TP-0030 | E-Commerce Triangulation Fraud | Payment diversion, identity theft | | TP-0031 | Refund-as-a-Service (FTID / RaaS) | Refunding-as-a-service | | TP-0032 | Web3 Wallet Drainer / Approval Phishing | Approval phishing, crypto laundering | | TP-0033 | Ghost Student Financial Aid Botnets | Ghost student fraud, application fraud | ## 快速开始 ### 查看数据库 在浏览器中打开 `index.html`（通过本地服务器）或访问 [GitHub Pages 站点](https://elchacal801.github.io/flame-fraud/)。 ### 本地构建数据库 ``` pip install -r requirements.txt python scripts/build_database.py ``` ### 导出所有工件 ``` python scripts/export_flame_stix.py # STIX 2.1 bundle python scripts/export_misp.py # MISP galaxy & feed python scripts/export_taxii.py # TAXII 2.1 endpoints python scripts/export_sigma.py # Sigma detection packs ``` ### 验证提交 ``` python scripts/validate_submission.py ThreatPaths/TP-0001-treasury-mgmt-ato-malvertising.md ``` ### 通过 MISP 订阅 将你的 MISP 实例 Feed URL 指向 GitHub Pages 站点上的 `database/misp-feed/manifest.json`。 ### 通过 TAXII 订阅 使用 GitHub Pages 站点上的 `api/taxii/discovery.json` 处的 TAXII 根配置你的 TIP。 ### 贡献威胁路径 有关提交指南，请参阅 [CONTRIBUTING.md](CONTRIBUTING.md)。 ## 贡献 FLAME 是社区驱动的。欢迎来自所有金融领域从业者贡献威胁路径、基线和检测逻辑。详情请参阅 [CONTRIBUTING.md](CONTRIBUTING.md)。 ## 作战证据 威胁路径可以包含一个**作战证据**部分，将现实世界的调查结果链接到欺诈生命周期。构建脚本会解析这些条目并将其包含在： - `flame-content/TP-XXXX.json` -- 每个威胁路径的完整证据数组 - `flame-index.json` -- 每个条目的 `evidence_count` - `flame-evidence-index.json` -- 用于去重的跨 TP 证据列表 证据条目遵循 `EV-[TP-ID]-[YYYY]-[NNN]` 格式，目前来源于 [domain_intel](https://github.com/elchacal801/domain_intel) 调查管道。 ## 文档 - [项目设计](docs/FLAME-project-design.md) -- 架构与路线图 - [STIX Fraud Extension](docs/STIX-FRAUD-EXTENSION.md) -- 自定义 SDO 规范 - [分类法参考](docs/TAXONOMY.md) -- 欺诈类型、行业、CFPF 阶段、跨框架映射 - [竞争格局](docs/COMPETITIVE-LANDSCAPE.md) -- FLAME 与其他欺诈框架的关系 - [更新日志](CHANGELOG.md) -- 发布历史 ## 致谢 - **HEARTH / THOR Collective** -- 架构模型与灵感 - **FS-ISAC CFPF Working Group** -- 主要的欺诈生命周期框架 - **Group-IB** -- 引用了 Fraud Matrix 2.0 阶段名称和 UCFF 治理领域，用于跨分类法互操作性 - **Stripe** -- FT3（MIT 许可）分类法结构 - **MITRE** -- ATT&CK 框架；F3 欺诈扩展（待定） - **OASIS** -- STIX 2.1 和 TAXII 2.1 规范 ## 许可证 MIT 许可证。参见 [LICENSE](LICENSE)。

标签：CFPF, Cloudflare, F3, FT3, Group-IB, Markdown, MITRE ATT&CK, Python, Ruby, Taxonomy, YAML, 反欺诈, 威胁情报, 威胁路径, 安全库, 安全社区, 开发者工具, 开源, 情报共享, 无后门, 框架映射, 检测规则, 欺诈情报, 知识库, 红队平台, 结构化数据, 网络安全, 网络资产发现, 调查手册, 逆向工具, 金融安全, 防御加固, 隐私保护