O Federal Bureau of Investigation (FBI) alertou para o crescimento expressivo de ataques de “jackpotting” contra caixas eletrônicos nos Estados Unidos. Desde 2020, foram registrados cerca de 1.900 incidentes, sendo 700 apenas no último ano. Em 2025, as perdas já ultrapassam US$ 20 milhões, enquanto o U.S. Department of Justice (DoJ) informou que, desde 2021, os prejuízos acumulados chegam a aproximadamente US$ 40,73 milhões.

O jackpotting é uma técnica utilizada por hackers para forçar caixas eletrônicos a liberar dinheiro sem que haja uma transação legítima. Segundo o FBI, os invasores exploram vulnerabilidades físicas e falhas de software, instalando malwares especializados que assumem o controle do equipamento e liberam cédulas sob comando direto dos criminosos.

O malware mais associado a esse tipo de crime é o Ploutus, identificado pela primeira vez no México em 2013. Uma vez instalado, ele permite controle total sobre o caixa eletrônico, possibilitando a retirada de grandes quantias em poucos minutos — muitas vezes antes que qualquer alerta seja disparado.

Os ataques geralmente seguem dois caminhos principais:

• Acesso físico ao equipamento, frequentemente com o uso de chaves genéricas amplamente disponíveis no mercado.

• Manipulação do disco rígido, que pode ser removido para cópia do malware e reinstalação, ou substituído por outro já comprometido.

Independentemente da técnica, o objetivo é o mesmo: fazer com que o malware interaja diretamente com o hardware do caixa eletrônico, contornando os controles de segurança do software original.

O Ploutus explora a camada de software conhecida como XFS (eXtensions for Financial Services), responsável por enviar comandos físicos ao equipamento — como liberar dinheiro ou ler cartões. Em uma operação normal, o sistema do banco envia instruções autorizadas por meio do XFS. No entanto, quando o hacker consegue emitir comandos diretamente para essa camada, é possível ignorar completamente a validação bancária e ordenar a liberação do dinheiro sob demanda.

Um dos fatores que amplia o risco é o fato de muitos caixas eletrônicos operarem com sistema Windows. Como o ataque explora o sistema operacional subjacente, o malware pode ser adaptado para diferentes fabricantes com poucas modificações no código.

Além do alerta técnico, as autoridades norte-americanas anunciaram a acusação formal de mais seis suspeitos por envolvimento no esquema, incluindo crimes como fraude bancária, invasão a sistemas e dano a computadores. Segundo as investigações, os acusados teriam ligação com o grupo Tren de Aragua, classificado como Organização Terrorista Estrangeira.

Com os novos indiciamentos, já são 93 réus formalmente acusados nos últimos meses por participação no esquema de jackpotting.

O FBI divulgou uma série de medidas para mitigar os riscos:

• Reforço da segurança física, com sensores de intrusão e câmeras.

• Substituição de fechaduras padrão dos caixas eletrônicos.

• Auditorias periódicas nos dispositivos.

• Alteração de credenciais padrão.

• Implementação de desligamento automático ao detectar indícios de comprometimento.

• Uso de listas de permissão (allowlisting) para impedir conexão de dispositivos não autorizados.

• Monitoramento e retenção de logs para investigação.

O avanço desses ataques demonstra que, mesmo em ambientes altamente regulados como o financeiro, vulnerabilidades físicas combinadas com falhas de software continuam sendo exploradas. Para instituições bancárias, o desafio vai além da segurança digital: envolve também proteção física, gestão de ativos e resposta rápida a incidentes.