Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 081

ATM Jackpotting

ПроверилCybersecurity entrepreneur & security researcher

Что такое ATM Jackpotting?

ATM JackpottingАтака, при которой диспенсер банкомата вынуждают выдать всю наличность — либо через физический доступ к верхней панели, либо через компрометацию сети.


ATM jackpotting публично продемонстрировал ныне покойный Barnaby Jack на Black Hat 2010, где он заставил машины Tranax и Triton извергать наличность в демонстрации, которую он назвал «Jackpotting». Современные атаки делятся на два семейства.

Физический jackpotting

Преступная группа открывает верхнюю панель банкомата (часто украденным или универсальным ключом), отключает диспенсер от работающего ПК и подключает устройство атакующего — ноутбук, Raspberry Pi или медицинский эндоскоп, чтобы добраться до кабеля. Затем вредоносное ПО, такое как Ploutus.D, Cutlet Maker (продавалось как crimeware-as-a-service в даркнете примерно за 5 000 долларов) или WinPot, взаимодействует с диспенсером через промежуточное ПО XFS (eXtensions for Financial Services), отправляя команды выдачи, которые опустошают все кассеты за минуты. Первая подтверждённая волна jackpotting в США произошла в январе 2018 года (предупреждения Secret Service/Diebold Nixdorf).

Сетевой cash-out

flowchart TD
  A[Целевой фишинг сотрудника банка] --> B[Закрепление в сети банка]
  B --> C[Доступ к серверу платёжного<br/>коммутатора AIX/Windows]
  C --> D[Внедрение Trojan.FastCash<br/>в процесс коммутатора]
  D --> E[Мул вставляет карту<br/>в банкомате за рубежом]
  E --> F[Запрос на снятие поступает на<br/>скомпрометированный коммутатор]
  F --> G[Вредоносное ПО подделывает<br/>одобрение ISO 8583]
  G --> H[Банкомат выдаёт наличность;<br/>реальный баланс счёта не тронут]

FASTCash, реализуемая связанной с КНДР группой Lazarus/APT38 (Hidden Cobra / BeagleBoyz), компрометирует сервер приложения платёжного коммутатора банка и подделывает сообщения об одобрении ISO 8583, так что карты мул снимают наличность, которую счёт не может покрыть. CISA/FBI/Treasury описали схему в октябре 2018 года; в одном инциденте 2017 года наличность выводилась из банкоматов в более чем 30 странах одновременно, а инцидент 2018 года охватил 23 страны, при этом общие потери оценивались в десятки миллионов долларов.

Меры защиты

Физические датчики и усиленные замки на верхней панели; пароли BIOS и полнодисковое шифрование; allowlisting приложений в ОС банкомата; подписанная, аутентифицированная прошивка диспенсера и сквозное шифрование XFS 3.0+ между ПК и диспенсером; а также сегментация, MFA и аутентификация сообщений (MAC) на канале «банкомат — коммутатор».

Примеры

  1. 01

    Мулы с MaaS-комплектом Cutlet Maker опустошают банкоматы Восточной Европы в 2017-2018 годах.

  2. 02

    Схема FASTCash группы Lazarus рассылает сообщения об одобрении и выводит из банкоматов более 100 млн долларов.

Частые вопросы

Что такое ATM Jackpotting?

Атака, при которой диспенсер банкомата вынуждают выдать всю наличность — либо через физический доступ к верхней панели, либо через компрометацию сети. Относится к категории Атаки и угрозы в кибербезопасности.

Что означает ATM Jackpotting?

Атака, при которой диспенсер банкомата вынуждают выдать всю наличность — либо через физический доступ к верхней панели, либо через компрометацию сети.

Как защититься от ATM Jackpotting?

Защита от ATM Jackpotting обычно сочетает технические меры и операционные практики, как описано в определении выше.

Какие есть другие названия ATM Jackpotting?

Распространённые альтернативные названия: Jackpotting, Cash-out атака.

Связанные термины