Negli Stati Uniti si sta diffondendo un nuovo tipo di furto informatico che prende di mira gli sportelli automatici bancari: il cosiddetto jackpotting. In pochi minuti, criminali riescono a costringere gli ATM a espellere tutte le banconote custodite al loro interno, senza alcuna carta o codice PIN.
Secondo un avviso di sicurezza pubblicato dal Federal Bureau of Investigation (FBI), solo nel 2025 hanno avuto luogo oltre 700 attacchi di jackpotting, parte di un totale di quasi 1.900 incidenti registrati dal 2020 ad oggi. Le perdite economiche superano i 20 milioni di dollari nel solo ultimo anno.
Come funziona l’attacco
La tecnica di jackpotting combina accesso fisico e software malevolo:
I criminali ottengono l’accesso interno alla macchina, spesso forzando lo sportello o utilizzando chiavi generiche che aprono il pannello frontale. Rimuovono il disco rigido dell’ATM o lo sostituiscono con uno pre-infetto. Viene installato un malware specializzato, tra i più usati il Ploutus, che prende il controllo diretto del software di gestione della macchina. (
Il malware non ruba dati dei clienti, ma sovrascrive le autorizzazioni bancarie, permettendo alla macchina di “pensare” di eseguire una normale transazione mentre in realtà eroga fisicamente denaro senza alcun addebito.
Ploutus: il software che svuota il bancomat
Il nome Ploutus non è nuovo: è una famiglia di malware comparsa per la prima volta più di un decennio fa e progettata specificamente per bypassare il sistema XFS, un software standard su molti ATM che gestisce la comunicazione tra sistema operativo e componenti hardware.
Una volta installato, Ploutus può:
- gestire richieste di erogazione senza passare per i controlli bancari;
- instradare comandi direttamente al dispenser delle banconote;
- rimanere nascosto fino a quando il denaro non è stato prelevato.
COme difendersi
Le vittime principali di questi attacchi non sono i clienti, i cui dati e saldi restano intatti, bensì le banche e i gestori degli sportelli, che subiscono perdite dirette. Per contrastare il fenomeno, l’FBI ha pubblicato indicatori di compromissione e raccomandazioni tecniche per rafforzare la sicurezza di ATM e infrastrutture.
Le misure suggerite includono:
- rafforzamento fisico dei cabinet;
- monitoraggio dei log di sistema;
- controllo delle porte USB interne;
- aggiornamenti di sicurezza e isolamento delle applicazioni critiche.