美国联邦调查局(FBI)近日在一份最新安全通告中指出,针对自动取款机(ATM)的“jackpotting”(俗称“彩金机”)攻击在近几年快速攀升,仅在2025年一年内就记录到超过700起成功攻击事件,为黑客带来了至少2000万美元的现金非法收入。 这类攻击通过操控ATM本身,让机器在不从任何用户账户扣款的情况下,像中了头奖般不断吐钞,因此被形象地称为“彩金机”。
“彩金机”攻击最早因安全研究者巴纳比·杰克(Barnaby Jack)在2010年黑帽安全大会上的现场演示而广为人知,当时他成功远程入侵一台ATM,让其在观众面前持续喷出钞票,这一幕震撼了全行业,也预示了日后现实世界中同类犯罪的可能性。 十多年之后,这种曾被视为“安全研究舞台秀”的攻击手法,如今已经演变成有组织犯罪集团反复利用的暴利手段。
根据FBI公开的通告,攻击者通常会结合物理入侵与数字攻击两种方式对ATM下手。 在物理层面,他们可能使用通用钥匙或工具撬开ATM前面板,直接接触和拆卸内部硬盘或其他关键部件。 在数字层面,黑客则会在设备上植入恶意软件,通过控制ATM内部系统,强制机器在短时间内大量吐钞。整套“快取现金”过程往往只需几分钟即可完成,而银行与运营方通常在资金被取走后才发现异常。
FBI特别点名了一种名为“Ploutus”的恶意软件,称其已被用于攻击多家厂商生产的不同型号ATM及现金发放终端。 这类设备大多运行基于Windows的操作系统,而Ploutus正是通过攻击底层Windows系统来实现对整机的完全控制。 一旦感染成功,黑客即可直接向ATM下达指令,让其在不与银行核心账户系统进行正常结算的情况下不断吐出现金,也就是说,资金并非从任何具体持卡人的账户中划转,而是直接从ATM现金仓中被掏空。
Ploutus利用的是ATM中用于金融服务的扩展框架——XFS软件。XFS负责协调ATM内部的各个关键硬件组件,包括PIN输入键盘、读卡器以及现金发放单元等。 通过滥用或篡改XFS层面的指令和接口,恶意软件可以在不触发正常业务流程的前提下,直接操控这些设备执行异常操作,比如持续发钞。 FBI在通告中指出,由于攻击目标是ATM终端本身而非个人账户,这类攻击往往隐蔽性更强,且难以及时发现,给金融机构带来的直接经济损失巨大。
早在此前,安全研究人员就已经披露过XFS软件存在的一系列安全隐患,指出攻击者可以通过这些漏洞诱骗ATM在没有合法交易的背景下吐出现金。 如今,随着犯罪团伙逐步将这些研究成果“实战化”,并配合成熟的物理破拆手法与专用恶意工具,“彩金机”攻击已经从实验室概念升级为全球范围内金融机构必须严肃面对的现实威胁。