Het Amerikaanse Federal Bureau of Investigation (FBI) heeft gewaarschuwd voor een toename van het aantal jackpotting-incidenten bij geldautomaten in het hele land, wat in 2025 tot verliezen van meer dan $ 20 miljoen zal leiden.
Het bureau zei dat er sinds 2020 1.900 jackpotting-incidenten bij geldautomaten zijn gemeld, waarvan er vorig jaar 700 plaatsvonden. In december 2025 zei het Amerikaanse ministerie van Justitie (DoJ) dat er sinds 2021 gezamenlijk ongeveer $ 40,73 miljoen verloren is gegaan door jackpotaanvallen.
“Dreigingsactoren maken misbruik van fysieke en softwarematige kwetsbaarheden in geldautomaten en zetten malware in om contant geld uit te delen zonder een legitieme transactie”, aldus de FBI in een donderdagbulletin.
Bij de jackpotting-aanvallen wordt gebruik gemaakt van gespecialiseerde malware, zoals Ploutus, om geldautomaten te infecteren en hen te dwingen contant geld uit te delen. In de meeste gevallen is waargenomen dat cybercriminelen ongeoorloofde toegang tot de machines verkrijgen door een geldautomaat te openen met algemeen beschikbare generieke sleutels.
Er zijn ten minste twee verschillende manieren waarop de malware wordt ingezet: het verwijderen van de harde schijf van de geldautomaat, gevolgd door deze op de computer aan te sluiten, deze naar de harde schijf te kopiëren, deze weer op de geldautomaat aan te sluiten en de geldautomaat opnieuw op te starten, of deze volledig te vervangen door een buitenlandse harde schijf waarop de malware vooraf is geladen en deze opnieuw op te starten.
Ongeacht de gebruikte methode is het eindresultaat hetzelfde. De malware is ontworpen om rechtstreeks met de ATM-hardware te communiceren, waardoor alle beveiligingscontroles in de originele ATM-software worden omzeild.
Omdat de malware geen verbinding met een daadwerkelijke bankpas of klantrekening vereist om contant geld uit te geven, kan deze met weinig tot geen codewijzigingen worden gebruikt tegen geldautomaten van verschillende fabrikanten, omdat het onderliggende Windows-besturingssysteem tijdens de aanval wordt misbruikt.
Ploutus werd voor het eerst waargenomen in Mexico in 2013. Eenmaal geïnstalleerd, geeft het bedreigingsactoren volledige controle over een geldautomaat, waardoor ze uitbetalingen kunnen activeren waarvan de FBI zegt dat ze binnen enkele minuten kunnen plaatsvinden en moeilijker te detecteren zijn tot nadat het geld is opgenomen.
“Ploutus-malware maakt misbruik van de eXtensions for Financial Services (XFS), de softwarelaag die een geldautomaat instrueert wat hij fysiek moet doen”, legt de FBI uit.
“Wanneer een legitieme transactie plaatsvindt, verzendt de ATM-applicatie instructies via XFS voor bankautorisatie. Als een bedreigingsacteur zijn eigen opdrachten aan XFS kan geven, kan hij de bankautorisatie volledig omzeilen en de geldautomaat opdracht geven om op verzoek contant geld uit te geven.”
Het bureau heeft een lange lijst met aanbevelingen opgesteld die organisaties kunnen toepassen om het risico op jackpotting te beperken. Dit omvat het aanscherpen van de fysieke beveiliging door het installeren van dreigingssensoren, het opzetten van beveiligingscamera’s en het wijzigen van standaardsloten op geldautomaten.
Andere maatregelen zijn onder meer het controleren van geldautomaten, het wijzigen van standaardreferenties, het configureren van een automatische uitschakelmodus zodra indicatoren van compromittering worden gedetecteerd, het afdwingen van het op de toelatingslijst zetten van apparaten om verbinding met ongeautoriseerde apparaten te voorkomen, en het bijhouden van logboeken.
