За оприлюдненим бюлетенем ФБР, у США фіксується стрімке зростання атак типу джекпоттинг (jackpotting) на банкомати. Лише у 2025 році зареєстровано понад 700 інцидентів, а сумарні збитки перевищили 20 млн доларів. З 2020 року зафіксовано близько 1900 подібних атак, причому майже половина припадає на поточний рік, що свідчить про стійке погіршення ситуації з безпекою ATM-сегменту.
Джекпоттинг банкоматів: як працює атака та чому вона небезпечна
Джекпоттинг банкоматів — це тип кіберзлочину, коли банкомат змушують видавати готівку без легітимної банківської операції. На відміну від скімінгу, де ціллю є картка клієнта, при jackpotting основний об’єкт атаки — сам банкомат і його програмно-апаратна інфраструктура. Зловмисники за лічені хвилини спорожнюють касети видачі, а банк часто дізнається про інцидент уже постфактум.
За даними ФБР, типовий сценарій виглядає так: нападник отримує фізичний доступ до корпусу банкомата, встановлює або підключає шкідливе ПЗ й ініціює видачу готівки без участі платіжної карти. При цьому не використовується ані карта, ані PIN-код, ані реальний банківський рахунок, тож класичні antifraud-системи, орієнтовані на аналіз транзакцій, практично не бачать таких операцій.
Ploutus — ключове шкідливе ПЗ у сучасних атаках на банкомати
Еволюція шкідливого ПЗ для ATM
ФБР називає центральним інструментом сучасних атак джекпоттингу малварь Ploutus, відому експертам з кібербезпеки понад десятиріччя. Цей шкідливий код активно застосовувався проти банкоматів у 2017–2018 роках, а згодом майже зник з публічних звітів. Втім, за оцінкою спецслужби, Ploutus і сьогодні залишається одним із найпоширеніших інструментів у арсеналі кіберзлочинців, що атакують фінансові організації.
Керування банкоматом через XFS: обхід авторизації
Ploutus експлуатує програмний шар eXtensions for Financial Services (XFS) — стандартний інтерфейс, який забезпечує взаємодію операційної системи банкомата з його фізичними модулями: диспенсером готівки, картридером, PIN-падом тощо. У штатному режимі ATM-додаток надсилає через XFS запит до процесингового центру банку для авторизації кожної операції. Після компрометації пристрою шкідливе ПЗ отримує змогу надсилати команди XFS напряму до диспенсера, повністю обходячи процедуру авторизації.
Фактично Ploutus перетворює банкомат на «грошовий автомат» під контролем зловмисника: той може задавати суму, кількість купюр і сценарій видачі. Активація часто відбувається через приховані клавіатурні комбінації, спеціально підготовлені USB-пристрої або навіть віддалено, якщо банкомат додатково скомпрометований по мережі.
Windows, XFS та фізичний доступ: чому банкомати залишаються вразливими
За інформацією ФБР, Ploutus здатен працювати на банкоматах різних виробників із мінімальними змінами коду. Причина — уніфікований стек: більшість пристроїв використовують операційну систему Windows та стандарт XFS. Така стандартизація знижує витрати на підтримку інфраструктури, але одночасно робить атаки високорентабельними: розробивши малварь під одну конфігурацію, злочинці можуть застосовувати її на тисячах пристроїв.
Критичним фактором залишається й фізична безпека. У низці інцидентів зловмисники отримували доступ до внутрішніх компонентів банкомата за допомогою універсальних ключів, підроблених сервісних бейджів або зламу замків. Далі вони вилучали жорсткий диск для копіювання шкідливого ПЗ або повністю підмінювали його попередньо підготовленим носієм із уже встановленою малваррю. Додатково Ploutus уміє автоматично видаляти свої сліди, що суттєво ускладнює форензик-аналіз та розслідування інцидентів.
Рекомендації ФБР: як захистити банкомати від джекпоттингу
1. Регулярний аудит банкоматів. Фінансовим організаціям рекомендується системно оглядати пристрої на предмет несанкціонованих USB-носіїв, додаткових плат, змінених кабелів і нетипових сервісних підключень. Окрему увагу слід приділяти спробам розкриття корпусу, пошкодженим замкам та нетиповим перезавантаженням.
2. Моніторинг процесів і контроль цілісності. Важливо відстежувати невідомі або аномальні процеси в операційній системі банкомата, зміни у файловій структурі та системних бібліотеках, а також застосовувати рішення для контролю цілісності еталонних образів. Це допомагає виявити підміну диска, впровадження шкідливого ПЗ та несанкціоновані зміни конфігурації.
3. Посилення фізичного захисту. Банкам доцільно переглянути політику доступу до сервісних зон, використовувати більш стійкі замки й індивідуальні ключі, розгортати системи відеоспостереження та датчики розкриття корпусу з негайним сповіщенням служби безпеки.
4. Оновлення ПЗ та сегментація інфраструктури. Рекомендовано переводити банкомати на підтримувані версії Windows із увімкненими механізмами захисту, обмежувати права локальних облікових записів і жорстко сегментувати мережу банкоматів від іншої ІТ-інфраструктури банку.
Стрімке зростання атак джекпоттингу демонструє, що кіберзлочинці активно використовують поєднання уніфікованого програмного стека, вразливостей XFS та слабкої фізичної безпеки пристроїв. Щоб зменшити ризики, фінансовим організаціям варто сприймати банкомати як повноцінні кінцеві точки критичної платіжної мережі, а не як ізольовані «залізні коробки». Інвестиції в моніторинг, регулярний аудит, модернізацію програмного забезпечення та навчання персоналу сьогодні — це спосіб знизити ймовірність успішних атак завтра та зберегти довіру клієнтів до банківських сервісів.
