Criminosos esvaziam caixas eletrônicos utilizando malware e acesso físico

Criminosos esvaziam caixas eletrônicos com malware e acesso físico: Desafios de segurança no mundo real

No atual cenário de ameaças digitais, ataques híbridos — que combinam invasão física e ciberataques sofisticados — representam uma das formas mais perigosas de comprometimento de sistemas críticos. Diferentemente de golpes que visam apenas sistemas online ou redes corporativas, esses ataques têm impacto direto sobre o mundo físico, especialmente em infraestruturas financeiras. O recente caso envolvendo dois criminosos venezuelanos que esvaziaram caixas eletrônicos nos Estados Unidos, utilizando malware customizado e acesso físico direto às máquinas, é um exemplo emblemático dessa tendência alarmante.

Entendendo o incidente: O ataque aos caixas eletrônicos

De acordo com investigação dos órgãos de segurança dos EUA, dois indivíduos — identificados como Luz Granados (34 anos) e Johan Gonzalez-Jimenez (40 anos) — foram condenados por conspirar para furtar dinheiro de caixas eletrônicos em pelo menos quatro estados norte-americanos. O método empregado envolvia:

• Acesso físico às máquinas durante a noite, quando a vigilância e circulação de pessoas ao redor dos caixas eram menores.

• Remoção da carcaça externa dos caixas eletrônicos e conexão direta de um laptop ao sistema interno do ATM.

• Instalação de malware personalizado, que penetrava a lógica de segurança dos equipamentos e forçava a liberação de todo o dinheiro disponível no dispenser, até esgotar o caixa físico.

O sucesso da operação dependia não apenas do uso de malware avançado, mas também do fato de que a dupla possuía o conhecimento técnico para manipular o hardware dos ATMs e contornar mecanismos de defesa integrados. Esse tipo de ataque é frequentemente referido na literatura técnica como jackpotting — uma técnica que transforma terminais de autoatendimento em “caixas de dinheiro automáticas” para os atacantes.

Como o malware facilita o roubo de caixa

O malware utilizado em ataques de jackpotting é projetado para injetar comandos diretamente no sistema operacional do caixa eletrônico, normalmente baseado em versões do Windows ou outro sistema legado presente nesses equipamentos. A partir desse momento, ele assume controle sobre a lógica de dispersão de notas, enviando ordens que instruem a máquina a liberar todo o dinheiro disponível.

Esses malwares geralmente operam de forma “silenciosa”, evitando alertar mecanismos de detecção que só monitoram a interação convencional com o caixa (como leituras de cartão ou comandos legítimos do host bancário). Em muitos casos, eles conseguem funcionar mesmo em sistemas sem conexão de rede externa, pois rodam localmente e exploram falhas de autenticação física ou lógica do ATM.

O Papel do acesso físico na exploração

Ao contrário de ataques puramente remotos, o jackpotting exige presença física legítima ou dissimulada junto ao terminal. Isso torna os ataques duplamente perigosos:

• Acesso físico implica em bypass de perímetros de segurança física — sensores, travas mecânicas e estruturas de proteção do terminal.

• O invasor pode manipular diretamente os componentes internos, conectando dispositivos que facilitam a execução do malware.

Essa combinação de invasão física com ciberataque se destaca por dificultar a detecção em tempo real, porque muitas soluções de monitoramento se concentram em tráfego de rede ou padrões de login, sem considerar modificações feitas diretamente no hardware.

Impacto e repercussões legais

Embora os fundos furtados tenham pertencido às instituições financeiras — e não às contas individuais dos clientes — o impacto econômico foi significativo, afetando a operação normal dos caixas e gerando prejuízos diretos às agências bancárias. Os criminosos não só drenaram centenas de milhares de dólares, mas também expuseram uma vulnerabilidade crítica em equipamentos que ainda estão amplamente em uso.

A condenação dos dois acusados culminou em penas de prisão federal e restituições financeiras, além de deportação obrigatória ao término do cumprimento da pena. Esse rigor ilustra que, embora ataques cibernéticos possam ser sofisticados e não causem dano direto a indivíduos — no sentido de roubo de dados pessoais — as consequências legais para os responsáveis são severas, refletindo o reconhecimento institucional da gravidade desses crimes.

Lições para bancos e operadores de ATM

A ocorrência sublinha diversas fragilidades que instituições financeiras devem tratar com prioridade:

1. Revisão dos protocolos de segurança física

Mecanismos de proteção das carcaças, sensores anti-violação e monitoramento físico em tempo real podem reduzir drasticamente a janela de oportunidade para que um atacante acesse o hardware sem detecção.

2. Atualização e isolamento dos sistemas internos

Caixas eletrônicos antigos muitas vezes rodam sistemas desatualizados, suscetíveis a técnicas modernas de exploração. A atualização para sistemas com mecanismos robustos de integridade de código e isolamento pode limitar a possibilidade de execução de malware.

3. Implantação de monitoramento local

Soluções de detecção que patrulham logs de eventos internos ou integração de software de defesa no endpoint local do ATM podem sinalizar atividades suspeitas antes que o ataque se complete.

4. Auditorias regulares de segurança

Auditorias periódicas, tanto de segurança física quanto lógica, ajudam a identificar e mitigar vetores de ataque antes que sejam explorados por grupos criminosos.

O Fenômeno global de jackpotting

Embora este caso tenha ocorrido nos Estados Unidos, técnicas semelhantes de jackpotting vêm sendo relatadas em vários países nos últimos anos, com variantes de malware especializadas para diferentes modelos de caixas eletrônicos. Essas campanhas geralmente são coordenadas por organizações criminosas estruturadas, capazes de operar em diferentes jurisdições e explorar falhas em equipamentos antigos.

Conclusão

O uso de malware em conjunto com acesso físico para esvaziar caixas eletrônicos representa uma ameaça significativa à segurança financeira global. Enquanto muitos ataques cibernéticos se concentram em sistemas online, esta modalidade explora a ausência de controles robustos sobre o acesso físico ao hardware dos ATMs e a fragilidade de sistemas operacionais antigos. Para mitigar esse risco, instituições financeiras devem adotar uma abordagem integrada de segurança — combinando proteção física, atualização tecnológica contínua, monitoramento avançado e auditorias regulares. A evolução dos ataques híbridos, que mesclam cibersegurança e intrusão física, exige que a defesa também evolua, antecipando riscos e reduzindo a superfície de ataque antes que grupos organizados causem prejuízos ainda maiores.

Referências Bibliográficas

• Dois criminosos esvaziaram caixas eletrônicos usando malware e acesso físico – TecMundo. Disponível em: https://www.tecmundo.com.br/seguranca/410096-dois-criminosos-esvaziaram-caixas-eletronicos-usando-malware-e-acesso-fisico.htm 

• US to deport Venezuelans who emptied bank ATMs using malware – BleepingComputer. Disponível em: https://www.bleepingcomputer.com/news/security/us-to-deport-venezuelans-who-emptied-bank-atms-using-malware/