Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 081

ATM 出钞攻击 (Jackpotting)

审核人Cybersecurity entrepreneur & security researcher

ATM 出钞攻击 (Jackpotting) 是什么?

ATM 出钞攻击 (Jackpotting)迫使 ATM 出钞器吐出全部现金的攻击,既可通过物理接触顶箱,也可通过对银行网络的入侵实施。


ATM 出钞攻击由已故的 Barnaby Jack 于 2010 年在 Black Hat 大会上公开演示,他让 Tranax 和 Triton 机器喷出现金,并将这一演示命名为 "Jackpotting"。现代攻击分为两类。

物理出钞攻击

作案团伙打开 ATM 的顶箱(通常使用偷来的或通用钥匙),将出钞器从运行中的 PC 上断开,并接入一台攻击者设备——笔记本、树莓派,或用医用内窥镜来触及线缆。随后,诸如 Ploutus.DCutlet Maker(在暗网上作为犯罪软件即服务出售,价格约 5000 美元)或 WinPot 等恶意软件通过 XFS(金融服务扩展,eXtensions for Financial Services)中间件与出钞器通信,下发出钞指令,在数分钟内清空每一个钞箱。首次确认的美国出钞攻击浪潮发生在 2018 年 1 月(特勤局/Diebold Nixdorf 发出警报)。

网络提现攻击

flowchart TD
  A[鱼叉式钓鱼银行员工] --> B[在银行网络中建立立足点]
  B --> C[抵达支付交换机<br/>服务器 AIX/Windows]
  C --> D[将 Trojan.FastCash<br/>注入交换机进程]
  D --> E[骡子在境外 ATM<br/>插入卡片]
  E --> F[取款请求抵达<br/>被入侵的交换机]
  F --> G[恶意软件伪造<br/>ISO 8583 批准报文]
  G --> H[ATM 出钞;<br/>真实账户余额未受影响]

FASTCash 由与朝鲜关联的 Lazarus/APT38(Hidden Cobra / BeagleBoyz) 组织实施,入侵银行的支付交换机应用服务器并伪造 ISO 8583 批准报文,使骡子卡得以取出账户无法覆盖的现金。CISA/FBI/财政部于 2018 年 10 月对其进行了详细披露;在 2017 年的一起事件中,现金同时超过 30 个国家的 ATM 中被取走,而 2018 年的一起事件涉及 23 个国家,估计总损失达数千万美元。

防御措施

在顶箱上加装物理传感器和更坚固的锁具;设置 BIOS 密码和全盘加密;在 ATM 操作系统上实施应用白名单;采用经签名、经认证的出钞器固件,以及 PC 与出钞器之间的 XFS 3.0+ 端到端加密;并对 ATM 到交换机的链路实施网络隔离、MFA 和报文认证(MAC)。

示例

  1. 01

    2017-2018 年间骡子使用 Cutlet Maker MaaS 套件在东欧清空 ATM。

  2. 02

    Lazarus 的 FASTCash 方案下发批准报文,从 ATM 中盗取超过 1 亿美元。

常见问题

ATM 出钞攻击 (Jackpotting) 是什么?

迫使 ATM 出钞器吐出全部现金的攻击,既可通过物理接触顶箱,也可通过对银行网络的入侵实施。 它属于网络安全的 攻击与威胁 分类。

ATM 出钞攻击 (Jackpotting) 是什么意思?

迫使 ATM 出钞器吐出全部现金的攻击,既可通过物理接触顶箱,也可通过对银行网络的入侵实施。

如何防御 ATM 出钞攻击 (Jackpotting)?

针对 ATM 出钞攻击 (Jackpotting) 的防御通常结合技术控制与运营实践,详见上方完整定义。

ATM 出钞攻击 (Jackpotting) 还有哪些其他名称?

常见的别称包括: Jackpotting, 提现攻击。

相关术语