Papa Carder
Professional
- Messages
- 189
- Reaction score
- 179
- Points
- 43
ATM jackpotting methods (актуально на февраль 2026 года) — это комбинация физического доступа и кибератак, при которой кардеры заставляют банкомат (ATM) выдавать наличные без легитимной транзакции, карты, PIN или авторизации от банка. Это не "взлом" аккаунтов клиентов, а прямой контроль над диспенсером наличных внутри машины.
По данным новостных источников (февраль 2026): с 2020 года зафиксировано около 1900 инцидентов jackpotting, из них более 700 произошли в 2025 году с потерями свыше $20 млн (некоторые источники указывают до $40 млн в отдельных оценках). Атаки резко выросли в США, часто связаны с организованными группами кардеров.
По данным новостных источников (февраль 2026): с 2020 года зафиксировано около 1900 инцидентов jackpotting, из них более 700 произошли в 2025 году с потерями свыше $20 млн (некоторые источники указывают до $40 млн в отдельных оценках). Атаки резко выросли в США, часто связаны с организованными группами кардеров.
Основные методы jackpotting в 2026
Все атаки требуют физического доступа к ATM (обычно unattended — на улице или в магазинах). Кардеры используют generic keys (универсальные ключи, доступные на black market) для открытия фронтальной панели/кабинета.- Malware-инфекция через hard drive (самый распространённый в 2026)
- Открывают ATM, отсоединяют жёсткий диск.
- Подключают его к своему ноутбуку → копируют malware (чаще всего Ploutus family — Ploutus-D и вариации).
- Возвращают диск обратно и перезагружают ATM (или полностью заменяют диск на предзагруженный с malware).
- Malware эксплуатирует XFS (eXtensions for Financial Services) — стандартный слой ПО, который управляет физическими действиями ATM (диспенсер, принтер и т.д.).
- После установки: полный контроль — ATM выдаёт наличные по команде (cash-out в минуты, часто до $100k+ за раз). Malware удаляет следы, чтобы скрыть инфекцию.
- Ploutus впервые замечен в Мексике в 2013, но в 2025–2026 активно используется в США (обходит авторизацию банка полностью).
- Время атаки: 5–15 минут на установку + минуты на cash-out.
- Black Box attacks (аппаратный bypass)
- Открывают кабинет, отключают оригинальный компьютер/диспенсер.
- Подключают внешнее устройство ("black box" — Raspberry Pi, custom плата или ноутбук) к портам диспенсера (USB, RS-232, или напрямую к cash module).
- Black box отправляет прямые команды на выдачу наличных, обходя ПО ATM и сеть банка.
- Часто комбинируют с malware (black box загружает его автоматически).
- Уязвимы ~70% ATM (по старым оценкам, но всё ещё актуально).
- Преимущество: работает даже на новых моделях с чипами/EMV, если диспенсер не защищён.
- Direct Memory Access (DMA) attacks
- Подключают устройство через PCIe/Thunderbolt-подобные порты или другие internal interfaces для прямого доступа к памяти ATM.
- Инжектируют код или команды в RAM, заставляя диспенсер работать.
- Упомянуто в ABA алертах 2026 как emerging threat.
- Logical attacks (реже в 2026)
- Через USB (bootable флешка) или network (если ATM подключён к незащищённой сети).
- Устанавливают malware без снятия диска.
- Менее популярно сейчас — физический доступ проще и надёжнее.
- Комбинированные / Insider-assisted
- Иногда insider (сотрудник сервиса/банка) оставляет доступ или устанавливает устройство.
- Группы (TdA и подобные) координируют: один открывает, другой обналичивает, третий уносит деньги.
Почему атаки эффективны в 2026
- Многие ATM на Windows (уязвимы к malware).
- XFS — слабое место (не шифрует команды).
- Физический доступ прост (generic keys, отсутствие tamper-evident seals).
- Обнал быстрый и "тихий" (нет транзакции в банке — детекция после факта).
- Организованные группы: malware разрабатывают/продают на underground, делят профит после обнала.
