Wyobraź sobie bankomat, który nagle zaczyna sam z siebie wypluwa gotówkę - bez karty, bez kodu PIN, bez żadnej autoryzacji bankowej. Brzmi jak scena z filmu sensacyjnego? To rzeczywistość, z którą coraz poważniej mierzą się Stany Zjednoczone i inne kraje. Zjawisko nosi nazwę jackpotting — od słowa „jackpot", bo efekt przypomina wygraną na automacie do gry.
Historia jackpottingu sięga 2010 roku, gdy słynny ekspert bezpieczeństwa Barnaby Jack zademonstrował na konferencji Black Hat, jak można zhakować bankomat i zmusić go do wyrzucania banknotów na żądanie. Publiczność była oszołomiona — ale eksperci wiedzieli, że to tylko kwestia czasu, zanim ktoś wykorzysta tę wiedzę do prawdziwych kradzieży. I tak się stało.
Jak to działa w praktyce?
Atak łączy w sobie elementy włamania fizycznego i cyberprzestępczości. W pierwszym kroku przestępcy otwierają obudowę bankomatu — co, jak alarmuje FBI, jest zaskakująco proste, bo do wielu modeli pasują ogólnodostępne klucze uniwersalne. Po dostaniu się do wnętrza wyciągają dysk twardy, instalują na nim złośliwe oprogramowanie i wkładają z powrotem. Następnie uruchamiają maszynę ponownie i... przejmują nad nią pełną kontrolę.
Główną rolę w tym procederze odgrywa malware o nazwie Ploutus, znany już od 2013 roku, gdy po raz pierwszy pojawił się w Meksyku. Atakuje on warstwę oprogramowania zwaną XFS (eXtensions for Financial Services), która odpowiada za komunikację między aplikacją bankową a fizycznymi komponentami bankomatu — klawiaturą PIN, czytnikiem kart i — co najważniejsze — kasetą z gotówką. Gdy Ploutus jest już zainstalowany, przestępca może wydawać maszynie własne rozkazy, całkowicie omijając weryfikację bankową.
Czy pieniądze klientów są zagrożone?
To pytanie, na które odpowiedź jest — przynajmniej częściowo — uspokajająca. Przestępca może zmusić bankomat do wydania gotówki bez użycia karty, konta klienta ani autoryzacji bankowej. Innymi słowy, hakerzy nie włamują się na konta indywidualnych osób — okradają samą maszynę i w konsekwencji bank lub właściciela bankomatu. Klient, który korzystał z urządzenia przed atakiem lub po nim, nie traci swoich pieniędzy bezpośrednio.
Jak powszechny jest ten proceder?
Od 2020 roku odnotowano w USA już blisko 1900 przypadków jackpottingu, z czego ponad 700 miało miejsce tylko w 2025 roku, przynosząc straty przekraczające 20 milionów dolarów. Według Departamentu Sprawiedliwości łączne straty od 2021 roku sięgnęły niemal 41 milionów dolarów. W niektórych przypadkach udało się aresztować sprawców. Wśród nich znalazły się osoby powiązane z wenezuelskim gangiem Tren de Aragua, a łączna liczba postawionych zarzutów wyniosła dotąd 93.
Jak się z tym walczy
FBI opublikowało szczegółowy biuletyn z zaleceniami dla banków i operatorów bankomatów. Wśród rekomendowanych środków znalazły się: montaż czujników alarmowych, kamery monitoringu, zmiana standardowych zamków, audyty oprogramowania oraz wdrożenie list dozwolonych urządzeń, by zablokować podłączanie nieautoryzowanych nośników. Trwają też intensywne działania prawne — dziesiątki podejrzanych zostało już oskarżonych i aresztowanych.
Jackpotting to przypomnienie, że zagrożenia cyfrowe mają też wymiar bardzo fizyczny — i że stary, dobry bankomat za rogiem może być celem ataku równie wyrafinowanego, co włamanie do systemów korporacyjnych.
