Die Geldautomaten wurden erneut von einer massiven Kampagne des digitalen Diebstahls anvisiert, aber dieses Mal ist die Waffe nicht ein Skimmer versteckt im Karten-Slot, sondern schädliche Software, die die Maschine zwingt, um Noten ohne eine legitime Transaktion zu spucken. Das US Federal Bureau of Investigations (FBI) warnte über eine signifikante Zunahme solcher Vorfälle, die im Argot als "Backpotting" bekannt sind: seit 2020 wurden fast 1.900 Anschläge gemeldet und allein im letzten Jahr etwa 700 aufgezeichnet, mit Verlusten über 20 Millionen Dollar im Jahr 2025, nach dem FBI selbst in seinem technischen Bulletin.
Hinter vielen dieser Episoden ist eine spezialisierte Malware, mit Namen, die Forscher bereits seit Jahren identifiziert und studiert haben. Ein paradigmatisches Beispiel ist Ploutus, der 2013 in Mexiko entdeckt wurde und Angreifern die direkte Kontrolle über die ATM-Hardware ermöglicht. Im Gegensatz zu einem traditionellen Bankbetrug müssen Sie hier keine Karte klonen oder auf Kundenkonten zugreifen: Ziel ist es, den Kassierer zu zwingen, Bargeld durch schädliche Befehle zu entrichten, dass die infizierte Software an den Spender selbst sendet.
Der Angriff kombiniert zwei kritische Bestandteile: physische Schwachstellen und Schwächen in der Software. In vielen Fällen erreichen Kriminelle einen einfachen physischen Zugang durch Öffnen der Grenze Kassierergehäuse mit generischen und weit verbreiteten Schlüsseln. Mit diesem Eintrag haben sie Zeit, die Ausrüstung intern zu manipulieren und den Infektionsprozess zu starten. Eine häufige Technik ist es, die Festplatte von der Kasse zu entfernen, zu kopieren oder seine Inhalte durch ein Bild zu ersetzen, das Malware enthält und reassemblieren und neu starten Sie die Maschine. Eine weitere Variante ist es, die Festplatte durch eine bereits mit der schädlichen Software vorbereitet zu ersetzen, so dass beim Einschalten des Computers der Angriff sofort läuft.
Was die Verteidigung besonders schwierig macht, ist, dass Malware nicht auf einer Oberflächenebene der Bankanwendung der Geldautomaten funktioniert, sondern mit der Schicht kommuniziert, die die Hardware steuert: in den meisten Kassen, die Interaktion von der XFS (eXtensions for Financial Services) Spezifikation behandelt wird. Wenn ein Angreifer in der Lage ist, seine eigenen Anweisungen an diese Schicht auszugeben, kann er die Bankberechtigung vollständig ignorieren und die Ausweisung von Bargeld auf Anfrage bestellen. Darüber hinaus arbeiten viele dieser Maschinen auf Windows-Systemen, so dass es einfacher für die gleiche Reihe von schädlichen Werkzeugen mit wenigen Änderungen an verschiedenen Hersteller Cashiers angepasst werden. Die technische Beschreibung finden Sie in Wikipedia (CEN / XFS) und über Ploutus in Ihre Spezifikation.
Die Geschwindigkeit des Angriffs ist ein weiterer Grund, warum sie für Kriminelle attraktiv sind: Sobald die Software vorhanden ist, kann ein "Cash-out" in Minuten auftreten und geht in der Regel unbemerkt, bis das Geld bereits zurückgezogen wurde. Das US-Justizministerium. Die USA und das FBI verfolgen das Phänomen und dokumentieren kumulative Verluste, die in den letzten Jahren zehn Millionen Dollar erreichen; für eine offizielle und technische Lesung über die Art dieser Vorfälle und Empfehlungen hat das FBI eine Mitteilung veröffentlicht, die die Bedrohung und vorgeschlagenen Maßnahmen zusammenfasst ( FBI IC3 Newsletter)
Angesichts dieses Szenarios kann die Antwort nicht nur digital oder physisch sein: sie muss beides kombinieren. Die von den Behörden angebotenen Empfehlungen bestehen darauf, die Zutrittskontrolle und Überwachung rund um die Kassen zu stärken, Standardsperren für sicherere Lösungen und Ausrüstungsmaschinen mit Sensoren zu ändern, die Outfits oder Manipulationen erkennen. Die Logik ist klar: ohne die Möglichkeit des physischen Zugriffs sind viele der Infektionsketten frustriert. Aber das reicht nicht.
Auf der Ebene der Software- und ATM-Park-Management ist es ratsam, regelmäßig Geräte zu überprüfen, Standardkonten und Anmeldeinformationen zu entfernen und "erleichternde" Richtlinien zu implementieren, die die Verbindung oder Verwendung von nicht autorisierten Speichergeräten verhindern. Es wird auch empfohlen, dass Geldautomaten automatische Abschaltung oder Quarantäne-Modi haben, in denen Verpflichtungsindikatoren erfasst werden, und dass Teams detaillierte Aktivitätsprotokolle halten, um den Wiederaufbau von Ereignissen zu ermöglichen und forensische Untersuchungen zu erleichtern. Diese Maßnahmen helfen, die Routen zu schließen, die sowohl den physischen Zugang als auch die Handhabung des zugrunde liegenden Betriebssystems ausnutzen.
Der menschliche Faktor darf nicht vergessen werden: Die Ausbildung von Mitarbeitern, die diese Geräte pflegen und überprüfen, ist der Schlüssel zur Erkennung von Anomalien in der Zeit. Etwas als Routine wie die visuelle Inspektion von Sicherheitsmarken, die Überprüfung von Aktivitätsprotokollen oder die Überprüfung, die Schlösser und Sensoren funktionieren, kann den Unterschied zwischen einem gescheiterten Versuch und einem echten Verlust machen.
Während die Gefahr von Jackpotting-Angriffen nicht neu ist, zwingen ihre Beharrlichkeit und die Raffinesse der verwendeten Methoden Banken, Geldautomaten und Behörden, intensiver zu koordinieren. Aus Sicht des Bürgers ist das direkte Risiko oft geringer (die Angreifer suchen physisches Geld auf Maschinen, nicht auf persönliche Konten), aber die wirtschaftlichen und vertrauensvollen Auswirkungen sind für die Industrie spürbar. Für diejenigen, die die technischen Aspekte und die Entwicklung des Problems vertiefen wollen, gibt es neben dem FBI-Newsletter eine umfangreiche technische und journalistische Berichterstattung, die ähnliche Vorfälle auf globaler Ebene verfolgt; die Überprüfung der historischen Analyse von Jackpotting hilft zu verstehen, wie sich die Taktik ändert und welche Praktiken erwiesen haben, um sie zu mildern.
Die Hauptlehre ist doppelt und dringend: stärkt die physische Sicherheit der Geldautomaten und unterschätzt nicht die Angriffsfläche der Software, die Ihre Hardware regelt. Beide Hälften des Problems müssen gleichzeitig gestärkt werden, um das Fenster zu reduzieren, das die Angreifer ausnutzen und wirtschaftliche Verluste und Schäden an öffentlichem Vertrauen minimieren.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...