Os caixas automáticos voltaram a ser alvo de uma campanha massiva de roubos digitais, mas desta vez a arma não é um skimmer escondido na ranhura do cartão, mas um software malicioso que obriga a máquina a escupir notas sem necessidade de uma transação legítima. O Buró Federal de Pesquisas dos Estados Unidos (FBI) alertau sobre um aumento significativo deste tipo de incidentes, conhecidos no argot como "jackpotting": desde 2020 foram relatados quase 1.900 ataques e apenas no último ano foram registrados cerca de 700, com perdas que ultrapassam os 20 milhões de dólares em 2025, segundo o próprio FBI em seu boletim técnico.
Atrás de muitos desses episódios está um malware especializado, com nomes que os pesquisadores já identificam e estudam há anos. Um exemplo paradigmático é Ploutus, detectado originalmente no México em 2013, que permite aos atacantes tomar controle direto do hardware do caixa. Ao contrário de uma fraude bancária tradicional, não é necessário clonar um cartão ou acessar contas de clientes: o objetivo é forçar o caixa a dispensar dinheiro através de comandos maliciosos que o software infectado envia ao próprio mecanismo dispensador.
O ataque combina dois ingredientes críticos: vulnerabilidades físicas e fraquezas no software. Em muitos casos, os criminosos conseguem um acesso físico simples abrindo o invólucro frontal do caixa com chaves genéricas e amplamente disponíveis. Com essa entrada, têm tempo para manipular a equipe internamente e arrancar o processo de infecção. Uma técnica frequente consiste em extrair o disco rígido do caixa, copiar ou substituir seu conteúdo por uma imagem que contém o malware e voltar a montar e reiniciar a máquina. Outra variante é substituir o disco por um já preparado com o software malicioso, de modo que ao acender a equipe o ataque é executado imediatamente.
O que torna especialmente difícil a defesa é que o malware não opera a um nível superficial da aplicação bancária do caixa, mas comunica com a camada que controla o hardware: na maioria dos caixas essa interação é gerida pela especificação XFS (eXtensions for Financial Services). Se um atacante conseguir emitir suas próprias instruções a essa camada, você pode ignorar completamente a autorização bancária e ordenar a expulsão de dinheiro sob demanda. Além disso, boa parte destas máquinas funciona em sistemas Windows, o que facilita que um mesmo conjunto de ferramentas maliciosas possa ser adaptado com poucas mudanças em caixas de diferentes fabricantes. Para ampliar sobre XFS e seu papel nos caixas, consultar a descrição técnica em Wikipédia (CEN/XFS) sobre Ploutus sua ficha técnica.
A rapidez do ataque é outra razão pela qual são atraentes para os criminosos: uma vez que o software está em andamento, um "cash-out" pode ocorrer em minutos e costuma passar despercebido até que o dinheiro já foi retirado. O Departamento de Justiça dos EUA. Os EUA e o FBI estão a acompanhar o fenómeno e a documentar perdas acumuladas que atingem dezenas de milhões de dólares nos últimos anos; para uma leitura oficial e técnica sobre a natureza desses incidentes e recomendações, o FBI publicou um aviso que resume a ameaça e as medidas sugeridas ( boletim IC3 do FBI).
Diante deste panorama, a resposta não pode ser apenas digital ou apenas física: deve combinar ambas. As recomendações fornecidas pelas autoridades insistem em reforçar o controlo de acesso e a vigilância em torno dos caixas, mudando fechaduras padrão por soluções mais seguras e equipando as máquinas com sensores que detectem aberturas ou manipulações fora do normal. A lógica é clara: sem possibilidade de acesso físico, grande parte das cadeias de infecção fica frustrada. Mas isso não basta.
A nível de software e administração do parque de caixas é aconselhável auditar regularmente os dispositivos, remover contas e credenciais por defeito e implementar políticas de "allowlisting" que impeçam a conexão ou uso de dispositivos de armazenamento não autorizados. Também é recomendável que os ATM disponham de modos automáticos de encerramento ou de quarentena quando forem detectados indicadores de compromisso, e que os equipamentos mantenham registos detalhados de atividade que permitam reconstruir eventos e facilitar a investigação forense. Estas medidas ajudam a fechar as vias que exploram tanto o acesso físico como a manipulação do sistema operacional subjacente.
Não se deve esquecer o fator humano: a formação do pessoal que mantém e revisa estes equipamentos é fundamental para detectar anomalias a tempo. Algo tão rotineiro como a inspeção visual de selos de segurança, a verificação de registros de atividade ou a verificação de que as fechaduras e sensores funcionam corretamente pode marcar a diferença entre uma tentativa falhada e uma perda real.
Embora a ameaça dos ataques de jackpotting não seja nova, a sua persistência e a sofisticação dos métodos empregados obrigam bancos, operadores de caixas e autoridades a coordenarem-se com mais intensidade. Do ponto de vista do cidadão, o risco directo é geralmente menor (os atacantes procuram dinheiro físico nas máquinas, não as contas pessoais), mas o impacto económico e a confiança é palpável para a indústria. Para quem quiser aprofundar os aspectos técnicos e a evolução do problema, além do boletim do FBI, há ampla cobertura técnica e jornalística que rastreia incidentes similares a nível global; revisar análises históricas sobre jackpotting ajuda a entender como mudam as táticas e quais práticas têm demonstrado ser mais eficazes para as mitigar.
A lição principal é dupla e urgente: fortalecer a segurança física dos caixas e não subestimar a superfície de ataque que representa o software que governa seu hardware. Ambas as metades do problema devem ser reforçadas simultaneamente para reduzir a janela que os atacantes exploram e para minimizar as perdas económicas e os danos à confiança pública.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...