- Os ataques a ATMs misturam fraudes físicas (skimming, explosões) e lógicas (malware, jackpotting), com predominância dos ataques de software.
- Famílias de malware como Ploutus, Tyupkin, Carbanak e o novo EU ATM permitem esvaziar caixas ou roubar dados com alto grau de automação.
- Bancos devem adotar Zero Trust, segmentação de rede, atualização de sistemas e ferramentas como LDM para conter brechas rapidamente.
- Usuários reduzem riscos escolhendo ATMs seguros, protegendo o PIN, desconfiando de alterações físicas e monitorando movimentações da conta.
Os ataques a caixas eletrônicos deixaram de ser cenas de filme de ação com explosões e assaltos à mão armada e passaram, cada vez mais, para o mundo digital, em que um simples pedaço de código malicioso pode esvaziar centenas de ATMs espalhados por vários países ao mesmo tempo. Para quem usa o caixa para sacar dinheiro no dia a dia, isso significa novos riscos que vão muito além do ladrão espiando o PIN por cima do ombro.
No setor financeiro, os caixas eletrônicos viraram um dos alvos preferidos do cibercrime, tanto pela quantidade de dinheiro físico disponível nessas máquinas quanto pelos dados sensíveis que processam. De malware especializado em jackpotting a esquemas discretos de skimming e ataques físicos com explosivos, o cenário atual mistura ameaças lógicas e físicas que exigem estratégias de segurança muito mais robustas e inteligentes.
Quão seguros são, de fato, os caixas eletrônicos?
Durante muitos anos, os terminais de ATM funcionaram basicamente como computadores especializados rodando versões customizadas do Windows, endurecidas para ambientes de IoT, mas ainda assim sujeitas a vulnerabilidades, erros de configuração e, claro, software desatualizado. Muitas dessas máquinas ainda operam com sistemas antigos, o que abre uma porta enorme para a exploração de falhas conhecidas.
Os bancos costumam atualizar periodicamente o sistema operacional dos ATMs para acompanhar correções de segurança, e já existe um movimento forte de migração para o Windows 11 devido ao fim do suporte do Windows 10. Mesmo assim, esse esforço nunca é perfeito: basta um grupo de caixas atrasado na atualização para virar alvo preferencial de grupos criminosos bem organizados.
Além do sistema operacional reforçado, as instituições financeiras adicionam camadas extras de segurança, como criptografia de dados dos cartões, proteção do tráfego entre o ATM e a rede do banco e mecanismos de detecção de anomalias. O problema é que, quando um invasor consegue comprometer a máquina ou a rede à qual ela está conectada, o caixa eletrônico deixa de ser apenas um terminal e vira literalmente uma porta de entrada para o core bancário.
Na prática, os ATMs estão profundamente integrados à infraestrutura crítica dos bancos, o que significa que uma brecha em um único equipamento pode permitir movimentação lateral pela rede, acesso a servidores sensíveis, vazamento de dados de clientes e fraudes em larga escala. É por isso que, hoje, o debate não é apenas sobre prevenção, mas também sobre contenção rápida quando algo dá errado.
Principais tipos de ataques a caixas eletrônicos
Os ataques a caixas eletrônicos podem ser divididos, de forma geral, em duas grandes categorias: físicos e lógicos (cibernéticos). Em muitos casos, os grupos criminosos combinam as duas abordagens, primeiro ganhando acesso físico à máquina para depois instalar malware ou dispositivos que permitam controle remoto e extração de dados ou dinheiro.
Nos ataques físicos, o objetivo é abrir a máquina ou levá-la inteira para outro local, usando desde ferramentas simples até explosivos sofisticados. Já nos ataques lógicos, o alvo é o cérebro do ATM: o sistema operacional, o software de gestão, os periféricos (leitor de cartão, teclado, dispensador de dinheiro) e, principalmente, a comunicação com os sistemas centrais do banco.
Fraudes físicas mais comuns: skimming, falsos ATMs e ataques violentos
Quando falamos em golpe de caixa eletrônico para o usuário comum, o primeiro vilão que aparece é o skimmer, um dispositivo fraudulento instalado sobre o leitor de cartão ou sobre o teclado numérico para copiar dados da faixa magnética e o PIN digitado — por isso é útil entender como funciona o cartão de crédito. Esses equipamentos falsos são tão bem camuflados que muitas vezes passam despercebidos até por quem está acostumado a usar o ATM todos os dias.
O skimming de cartões funciona basicamente como um “clonador” discreto: o criminoso encaixa um leitor falso sobre o legítimo e, a cada inserção de cartão, o equipamento copia número, data de validade, dados da trilha e outras informações, enquanto uma câmera oculta ou um teclado falso registra o PIN. Em poucas horas, um único dispositivo pode armazenar dados de centenas de cartões para posterior clonagem e uso em saques ou compras fraudulentas.
Existe também o snooping, em que o teclado original é coberto por um teclado falso ultrafino, quase impossível de notar. O ATM continua funcionando normalmente, entregando o dinheiro e o comprovante, mas cada tecla pressionada pelo usuário é registrada pela sobreposição. Dias depois, o correntista descobre que sua conta foi esvaziada e mal consegue imaginar onde a informação foi capturada.
Um nível ainda mais ousado de fraude física envolve a instalação de caixas eletrônicos falsos, geralmente em locais de grande circulação, como mercados, estações de transporte ou centros comerciais. Esses ATMs clonados costumam atrair vítimas prometendo zero tarifa ou vantagens atrativas e, na prática, nunca liberam dinheiro: apenas capturam o cartão, o PIN e, às vezes, o próprio plástico.
Por fim, há os ataques físicos violentos clássicos, como explosões, “pull-outs” (remoção total do terminal) e roubo com ferramentas. De acordo com relatórios europeus, cresceram os ataques com gás explosivo e explosivos sólidos, bem como os casos de roubos em que a máquina é arrancada com veículos ou aberta no local com lixadeiras, brocas e outros equipamentos de força bruta.
Malware em ATMs: a ameaça mais lucrativa e sofisticada
Se os golpes físicos chamam atenção pela destruição, é o malware específico para caixas eletrônicos que hoje representa a maior parte das perdas globais. Em diversos países, mais de 80% dos incidentes registrados em ATMs estão ligados a fraude lógica, contra menos de 20% relacionados puramente a ataques físicos.
O objetivo principal do malware de ATM é se conectar aos periféricos da máquina ou à sua rede, permitindo duas grandes modalidades de ataque: o jackpotting (quando o software força a saída de dinheiro sem transação legítima) e o skimming virtual (roubo de dados de cartão e PIN diretamente pelo sistema, sem qualquer dispositivo físico aparente).
Desde 2009, com a descoberta do Skimer na Rússia, o número de famílias de malware para ATM disparou. Hoje, investigadores catalogam mais de 20 cepas relevantes, e empresas especializadas como a Auriga já mapearam 50 variantes históricas em sua Guia de Malware para a Banca, detalhando formas de infecção, capacidades, contexto e defesas recomendadas.
Entre os nomes mais conhecidos estão Carbanak, Anunak e Cobalt, associados a ataques coordenados que somam mais de 1 bilhão de dólares em prejuízos para bancos no mundo todo. Essas campanhas não atacam somente caixas eletrônicos, mas usam-nos como um dos vetores para movimentar dinheiro de forma rápida e relativamente discreta.
Ploutus é, provavelmente, a família de malware que mais contaminou ATMs no planeta, com estimativas de mais de 75 mil máquinas comprometidas. Inicialmente identificado em caixas da marca NCR no México, evoluiu ao longo dos anos ganhando novas formas de ativação, como comandos enviados via SMS ou celular conectado por USB, facilitando operações de jackpotting sem contato visível com o teclado.
Já Tyupkin, uma evolução do malware Padpin, ficou famoso por permitir que criminosos esvaziassem caixas em questão de minutos, apenas digitando sequências específicas no teclado após infectar a máquina. Em muitos casos, o ataque ocorria de madrugada e exigia apenas que um “mula” fosse até o ATM já comprometido para recolher o dinheiro liberado.
Outras famílias de destaque incluem Anunak e Carbanak (orientadas a espionagem e movimentações internas), Ripper (usado em um ataque coordenado na Tailândia), NeoPocket (focado em roubo furtivo de dados em caixas Diebold) e SUCEFUL, projetado até para capturar fisicamente o cartão do usuário na ranhura, além de ler banda magnética e chip, desabilitando sensores para atrasar a detecção.
Novo malware EU ATM e a escalada na Europa
Pesquisadores de segurança identificaram recentemente na Europa uma nova cepa de malware, conhecida informalmente como EU ATM, capaz de extrair até 30 mil dólares (cerca de 28 mil euros) em um único ataque. Segundo informações de laboratórios como o da Kaspersky, a taxa de sucesso desse código é assustadora: chega a 99% nos caixas da União Europeia e ainda alcança cerca de 60% de eficiência em ATMs de outros países.
A grande preocupação em torno do EU ATM é que ele foi desenvolvido para funcionar praticamente em qualquer caixa eletrônico, independente do fabricante ou da localização. Em vez de depender de vulnerabilidades muito específicas, explora falhas comuns em configuração e proteção, o que torna o ataque altamente replicável.
Outro ponto alarmante é o nível de automação: uma vez que o malware esteja instalado e o ATM comprometido, o criminoso só precisa se posicionar na frente da máquina no momento certo e seguir um procedimento simples para disparar o saque fraudulento. Todo o processo de exploração da vulnerabilidade e controle do dispensador de cédulas ocorre de forma automatizada em segundo plano.
Para os bancos, isso significa que um único operador pode executar ataques em série, passando de caixa em caixa sem chamar muita atenção. Para os usuários finais, a margem de manobra é mínima: não há nada visível na máquina, nenhuma alteração física, nenhum comportamento anormal durante sua própria transação.
Nesse cenário, os especialistas são categóricos ao afirmar que a responsabilidade maior recai sobre as instituições financeiras e os proprietários dos terminais, que precisam reforçar as medidas de segurança, revisar constantemente a integridade dos ATMs, manter o software atualizado e monitorar indicadores de comprometimento de malware de maneira contínua.
Ataques lógicos avançados: jackpotting, black box e infiltração de rede
Os ataques lógicos não se limitam a instalar um vírus qualquer no caixa eletrônico; eles combinam conhecimento profundo de sistemas bancários, engenharia social e exploração de vulnerabilidades para assumir controle quase total dos dispositivos.
O ATM jackpotting é um dos métodos mais conhecidos: o atacante infecta o sistema do caixa, geralmente trocando fisicamente o disco rígido ou conectando um dispositivo externo (como notebook, celular ou USB) aos portos internos. Depois disso, o malware passa a emitir comandos diretamente ao dispensador de notas, fazendo o ATM cuspir dinheiro sem que haja transação registrada de forma padrão.
Outra técnica é o ataque de black box, em que um equipamento externo é ligado à interface do dispensador de cédulas para enviar comandos como se fosse o software legítimo do banco. Aqui, o caixa funciona quase como um “escravo”: a unidade externa decide quanto e quando liberar dinheiro, ignorando boa parte das checagens do sistema oficial.
Além da exploração direta do hardware, há ainda os ataques baseados em vulnerabilidades de software e sistemas desatualizados. Muitos ATMs ainda rodam versões antigas do Windows, sem patches de segurança, o que abre portas para exploits remotos, escalada de privilégios e execução de código sem interação do usuário.
Campanhas de spear phishing direcionadas a funcionários de bancos e empresas de transporte de valores também são um vetor importante. Um simples anexo malicioso aberto por descuido pode servir como ponto inicial de infiltração na rede interna, permitindo que o atacante se mova lateralmente até alcançar os servidores que gerenciam a rede de ATMs e, a partir daí, distribua malware para dezenas ou centenas de máquinas.
Há ainda o truque das falsas atualizações de software, em que o criminoso se faz passar por fornecedor ou suporte técnico, instala supostos “patches” ou “melhorias” e, na verdade, injeta código para interceptar comunicações, executar ataques Man in the Middle ou assumir controle remoto do terminal.
Zero Trust e segmentação: mudar o jogo da defesa
Com ataques cada vez mais sofisticados e automatizados, o velho modelo de segurança baseado apenas em perímetro e firewall já não dá conta do recado. Os bancos começaram a adotar ferramentas de detecção e resposta (EDR, SIEM, SOAR), mas o tempo gasto entre detectar um comportamento suspeito, analisá-lo e reagir muitas vezes é grande demais: quando a carga maliciosa é identificada, ela já se espalhou.
Por isso, ganha força a filosofia de Zero Trust, que parte do princípio de que nada dentro da rede deve ser confiado por padrão, seja um caixa eletrônico, um servidor, um usuário interno ou um dispositivo de manutenção. Cada acesso precisa ser verificado, cada fluxo de comunicação precisa fazer sentido dentro de uma linha de base bem definida.
Soluções como a Zero Trust Segmentation da Illumio levam esse conceito para a prática, segmentando a rede de forma granular e monitorando todo o tráfego entre ATMs e os sistemas centrais. Em vez de reagir apenas quando o malware é reconhecido, o sistema bloqueia automaticamente comunicações que fujam ao comportamento esperado, mesmo sem saber exatamente qual é o código malicioso envolvido.
Na prática, isso significa que, se um caixa eletrônico começar a se comunicar com servidores que não fazem parte do seu perfil normal, ou usar portas de rede incomuns, a solução pode encerrar imediatamente esses fluxos, isolando o terminal comprometido e impedindo a movimentação lateral do invasor.
Esse tipo de abordagem muda a lógica clássica “detectar para depois conter”; primeiro se reduz ao máximo a superfície de ataque e se limita o movimento possível dentro da rede, depois se observa e registra o que realmente acontece. Assim, mesmo que um atacante consiga explorar uma brecha em um ATM, sua capacidade de alcançar outras partes sensíveis do banco fica altamente restringida.
Lookwise Device Manager e outras soluções específicas para ATMs
Além das plataformas de segmentação e Zero Trust, há soluções criadas sob medida para proteger redes inteiras de caixas eletrônicos. Um exemplo é o Lookwise Device Manager (LDM), da Auriga, pensado exatamente para o contexto de ATMs como dispositivos de tecnologia operacional (OT), e não simplesmente como máquinas de TI tradicionais.
O LDM funciona como uma central de controle e monitoramento, oferecendo funções como inventário detalhado dos dispositivos, verificação de integridade de software e hardware, controle de aplicações permitidas, atualizações remotas, auditoria contínua e resposta a incidentes. Isso permite que o banco saiba, praticamente em tempo real, se algum terminal está se comportando fora do padrão.
Ao tratar o ATM como um equipamento crítico de OT, o modelo passa a aplicar políticas mais rígidas de endurecimento de sistema operacional, bloqueando serviços desnecessários, fechando portas não utilizadas, restringindo o uso de periféricos USB e garantindo que apenas componentes autorizados possam ser executados.
Segundo dados divulgados pela própria Auriga, a implementação do LDM pode elevar o tempo de disponibilidade da rede de ATMs para índices próximos de 98,4%, com 100% dos discos rígidos criptografados e verificações de integridade frequentes, o que reduz a janela de oportunidade para malware persistir sem ser notado.
Proteções físicas inteligentes: sensores, tinta de invalidação e supressão de gás
Mesmo com todo o foco em cibersegurança, as defesas físicas continuam essenciais, principalmente em regiões onde ataques com explosivos, arrombamentos e remoção de máquinas seguem em alta. Nesse campo, empresas especializadas desenvolveram soluções que tornam o assalto muito menos lucrativo e muito mais arriscado para o criminoso.
Uma dessas soluções é a proteção de cassetes e cofres com sistemas inteligentes que detectam tentativas de remoção, perfuração, vibração excessiva ou temperatura extrema. Sensores sísmicos, de temperatura e de jackpot identificam ações típicas de ataque, como o uso de maçaricos, lixadeiras, perfuradores ou mesmo a abertura forçada do compartimento de cédulas.
Se um ataque é detectado, o sistema pode acionar automaticamente um mecanismo de mancha de tinta IBNS, que libera um corante especial sobre as notas, inutilizando-as para circulação comercial. Mesmo que os criminosos consigam escapar com o dinheiro, as cédulas marcadas se tornam prova forense útil para rastrear a origem do roubo.
Existem, ainda, sistemas portáteis desenhados especificamente para neutralizar ataques com gás explosivo. Colocados no interior do ATM, eles identificam rapidamente a presença de gases inflamáveis em concentração suspeita e acionam um supressor não tóxico que interrompe a reação antes da detonação, protegendo tanto a máquina quanto o ambiente ao redor.
Essas soluções geralmente se integram a centros de controle que acompanham, em tempo real, a localização, o status de segurança e os eventos de alerta de caixas eletrônicos e veículos de transporte de valores. O uso de comunicação remota segura, inclusive com tecnologias desenvolvidas em parceria com a Agência Espacial Europeia e universidades, melhora a resposta coordenada a incidentes.
Boas práticas para bancos, empresas e fornecedores de ATMs
Para as instituições financeiras, provedores de tecnologia e empresas que operam ATMs, a proteção eficaz começa com uma postura proativa e não apenas reativa. Dado que violações vão acontecer em algum momento, o desafio é reduzi-las, detectá-las rapidamente e limitar seu impacto.
Na camada física, é fundamental reforçar a estrutura dos caixas para dificultar o acesso aos componentes internos, especialmente aos portos de conexão do computador embarcado. Isso inclui travas reforçadas, fechaduras de alta segurança, caixas fortes blindadas e monitoramento por câmeras em áreas de risco.
Verificações periódicas de integridade tornam-se obrigatórias: inspeções visuais para identificar dispositivos estranhos, como skimmers, teclados sobrepostos ou alterações no painel; checagem de lacres; testes de funcionamento e auditorias técnicas em busca de sinais de adulteração ou reinicializações suspeitas.
No plano lógico, as empresas devem planejar e implementar políticas rígidas de atualização de software, migrar ATMs que ainda rodam versões obsoletas do Windows (como XP) para sistemas suportados, aplicar patches de segurança assim que disponibilizados e adotar soluções de whitelisting de aplicações para evitar execução de programas não autorizados.
Outro pilar é a conscientização e treinamento dos funcionários, principalmente aqueles com acesso à infraestrutura de rede, manutenção de ATMs ou privilégios administrativos. Campanhas de spear phishing miradas em colaboradores continuam sendo um ponto de entrada comum para ataques mais amplos contra bancos.
Por fim, planos formais de resposta a incidentes específicos de malware em ATM são indispensáveis, incluindo procedimentos claros de isolamento de máquinas comprometidas, coleta de evidências, comunicação com autoridades e clientes e restauração segura da operação.
Cuidados essenciais para usuários de caixas eletrônicos
Embora boa parte das ameaças a ATMs dependa de falhas na infraestrutura bancária, o usuário também tem um papel importante na sua própria proteção. Pequenas atitudes no dia a dia podem reduzir bastante o risco de ter o cartão clonado ou o PIN capturado.
Ao escolher um caixa eletrônico, dê preferência a ATMs instalados dentro de agências bancárias ou em locais bem iluminados e movimentados. Desconfie de máquinas isoladas, em áreas pouco visíveis ou que apresentem qualquer aspecto estranho em relação às demais da mesma rede.
Sempre observe se não há partes sobrepostas ou soltas na entrada do cartão, no teclado ou no entorno da tela. Peças mal encaixadas, cores levemente diferentes, parafusos arranhados ou colas aparentes podem indicar a presença de skimmers, teclados falsos ou câmeras ocultas.
Na hora de digitar o PIN, cubra o teclado com a mão ou com o corpo, evitando que alguém próximo ou uma eventual câmera escondida consiga visualizar os números. Nunca aceite ajuda de estranhos para usar o caixa, nem entregue seu cartão para terceiros, mesmo que pareçam funcionários.
Outra boa prática é revisar com frequência o extrato e as notificações do banco. Ao perceber qualquer transação suspeita, entre imediatamente em contato com a instituição para bloquear o cartão e registrar uma contestação. Muitos bancos oferecem, ainda, saques sem cartão via aplicativo, o que reduz o risco de clonagem física.
Em situações de emergência, como retenção do cartão pelo ATM ou valor de saque incorreto, é importante ligar na hora para o número oficial do banco (normalmente afixado no próprio terminal), solicitar o bloqueio e registrar o ocorrido. Evite sair do local sem ao menos anotar horário, endereço e o número de identificação do caixa.
Por que conhecer o malware de ATM é estratégico para o setor financeiro
Para equipes de tecnologia, times de segurança e forças de lei, entender profundamente o ecossistema de malware para caixas eletrônicos deixou de ser opcional. Hoje, acompanhar as principais famílias, suas técnicas de infecção, formas de ativação e histórico de ataques é parte crucial do planejamento de defesas.
Guias especializadas, como a elaborada pela unidade de cibersegurança da Auriga, ajudam a consolidar esse conhecimento, catalogando dezenas de variantes de malware de ATM, desde o pioneiro Skimer até ameaças mais recentes como FixS, detectada no México em 2023, e FastCash, constantemente atualizada e com novas cepas identificadas em 2024.
Esses materiais indicam, por exemplo, quais malwares são mais perigosos para ataques físicos (como Tyupkin), quais são mais difíceis de detectar (caso do Metel, com alto nível de infiltração e capacidade de operar por longos períodos sem levantar suspeitas) e quais são mais fáceis de usar por criminosos com pouca bagagem técnica, como Cutlet Maker, que oferece interface simples e automatiza boa parte do ataque.
Conhecer o “inimigo” permite antecipar tendências, ajustar a arquitetura de segurança e orientar investimentos, seja em segmentação de rede, criptografia de discos, monitoramento comportamental, whitelisting de software ou proteção física reforçada. Mais do que reagir ao incidente da vez, trata-se de construir uma postura contínua de observação e adaptação.
Num cenário em que o caixa eletrônico é, ao mesmo tempo, vitrine do banco e ponte direta com dinheiro vivo e dados sensíveis, proteger esses dispositivos exige uma combinação bem afinada de defesas físicas, lógicas e operacionais, aliada a um modelo de Zero Trust que trate qualquer acesso como potencialmente suspeito. Bancos, fornecedores e usuários precisam jogar do mesmo lado: enquanto as instituições reforçam redes, sistemas e cofres, cada pessoa pode adotar hábitos simples para tornar a vida dos criminosos um pouco mais difícil. No fim das contas, preservar a confiança nos serviços bancários passa, necessariamente, por levar a sério a segurança dos ATMs.
