Jackpotting, czyli jak przestępcy przejmują bankomaty i wypłacają miliony

19 lutego 2026 r. Federalne Biuro Śledcze (FBI) opublikowało komunikat w związku z rosnącą liczbą kradzieży gotówki z bankomatów (jackpotting).

Z danych wynika, że od 2020 roku zgłoszono 1900 incydentów, a ponad 700 z nich dotyczy 2025 roku. W ubiegłym roku skradziono w ten sposób ponad 20 milionów dolarów. Celem komunikatu jest upowszechnienie wskaźników naruszeń bezpieczeństwa (IOC) oraz szczegółów technicznych złośliwego oprogramowania tak, aby organizacje mogły się skuteczniej chronić przed takimi atakami.

Bez użycia karty, konta klienta czy zgody banku...

Jak wskazuje komunikat FBI, sprawcy ataków wykorzystują zarówno programowe, jak i fizyczne luki w zabezpieczeniach bankomatów, które pozwalają im wprowadzić do systemu malware umożliwiający wymuszanie wypłat gotówki.

Jednym z opisywanych programów jest zaprojektowane pod bankomaty oprogramowanie Ploutus, które wykorzystuje rozszerzenia XFS (eXtensions for Financial Services). Po wykonaniu legalnej transakcji wysyłają one sygnał do banku z prośbą o autoryzację wypłaty. Bank wtedy sprawdza, czy klient ma na koncie środki do wypłaty takiej sumy.

Atakujący wykorzystują ten system na swoją korzyść poprzez instalowanie Ploutusa, który omija proces weryfikacji. Haker podszywa się pod legalne polecenie systemu bankowego, dzięki czemu bankomat traktuje transakcję jako autoryzowaną i wypłaca gotówkę.

Ponieważ atak koncentruje się na samym bankomacie, a nie na kontach klientów, jest często wykrywany dopiero po fizycznym wydaniu gotówki. Dodatkowo, złośliwe oprogramowanie może być używane w bankomatach różnych producentów przy minimalnej modyfikacji kodu, ponieważ atak bazuje na systemie operacyjnym Windows.

Po wdarciu się do bankomatu przestępca dokonuje jednej z dwóch czynności:

• wyjmuje dysk twardy, podłącza go do własnego komputera, wprowadza złośliwe oprogramowanie i odkłada dysk z powrotem;
• wymienia oryginalny dysk twardy na swój dysk lub inne urządzenie z już wgranym malwarem.

Wskaźniki kompromitacji

W systemach Windows cyfrowe IOCs (wskaźniki kompromitacji) obejmują przede wszystkim nieautoryzowane pliki wykonywalne.

Dodatkowo wskaźnikami kompromitacji mogą być też powiązane pliki i skrypty (m.in. C.dat, Restaurar.bat, Logcontrol.txt), nietypowe katalogi oraz obecność nieautoryzowanych narzędzi do zdalnego dostępu (np. TeamViewer czy AnyDesk), a także logi połączeń z „niespodziewanych” adresów IP.

Mechanizmy utrzymywania się zagrożenia mogą obejmować:

• nietypowe wpisy autostartu w rejestrze Windowsa;
• niestandardowe usługi systemowe uruchamiane w systemie SYSTEM;
• usługi o mylących nazwach, takich jak „ATM Service" czy „Dispenser Service".

Fizyczne IOCs wskazują na bezpośrednią ingerencję w sprzęt bankomatu. Są nimi m.in.:

• użycie urządzeń USB (identyfikowane w logach zdarzeń Event ID 2003, 6416 i 4663);
• wykrycie podłączonych klawiatur USB, hubów czy pamięci flash;
• otwarcie drzwi bankomatu poza harmonogramem konserwacji;
• nieautoryzowane podłączenie urządzeń;
• usunięte dyski twarde;
• nieoczekiwane braki gotówki;
• nagłe wyłączenie urządzenia.

Zalecane środki zapobiegawcze

W celu zabezpieczenia bankomatów FBI zaleca stosowanie zarówno fizycznych, jak i cyfrowych środków zapobiegawczych.

Bezpieczeństwo fizyczne:

• instalowanie czujników wibracji i zmian temperatury;
• wymiana zamków w bankomatach na te bardziej bezpieczne;
• montowanie klawiatur alarmowych na klapach serwisowych;
• stosowanie barier mechanicznych blokujących dostęp do kaset i klap serwisowych;
• pokrycie terenu kamerami monitoringu.

Bezpieczeństwo sprzętowe i cyfrowe:

• skonfigurowanie bankomatów tak, aby automatycznie przechodziły w stan "niedostępności" po wykryciu określonej kombinacji IOCs;
• stosowanie białych list urządzeń i oprogramowania;
• szyfrowanie dysków twardych;
• weryfikację integralności pamięci i firmware'u;
• korzystanie z listy zatwierdzonego oprogramowania i sprzętu (tzw. "whitelisty");
• wdrożenie oprogramowania antywirusowego dla punktów końcowych;
• regularne aktualizacje i konserwację systemu.

FBI zaleca również regularny audyt bankomatów, aby upewnić się, że wszystkie mechanizmy bezpieczeństwa są poprawnie skonfigurowane. Przed wdrożeniem aktualizacji zaleca się też przeprowadzanie testów w środowisku przedprodukcyjnym, aby sprawdzić poprawność implementacji zabezpieczeń.