جدول المحتويات
أصدر مكتب التحقيقات الفيدرالي (FBI) تحذيرًا في 19 فبراير 2026، حول زيادة حوادث هجمات “جاك بوتينغ” (jackpotting) التي تعتمد على البرمجيات الخبيثة في أجهزة الصراف الآلي في الولايات المتحدة. يهدف هذا التحذير إلى توفير تفاصيل تقنية وعلامات تدل على الاختراق (IOCs) لمساعدة البنوك ومشغلي أجهزة الصراف الآلي ومقدمي الخدمات في تعزيز أمان الأجهزة واكتشاف الاختراقات بشكل مبكر.
تظهر الأرقام أن الوضع ليس بسيطًا. فقد أفاد مكتب التحقيقات الفيدرالي بأن أكثر من 700 حادثة من أصل 1900 تم الإبلاغ عنها منذ عام 2020، وقعت في عام 2025 وحده، مما أسفر عن خسائر تتجاوز 20 مليون دولار.
ما هو “جاك بوتينغ” في هذا التحذير
في هجمات الجاك بوتينغ، لا يحتاج المجرمون إلى سرقة بيانات بطاقات أو سحب أموال العملاء. بدلاً من ذلك، يستهدفون جهاز الصراف الآلي نفسه، حيث يستخدمون البرمجيات الخبيثة لإجبار الجهاز على صرف النقود دون إجراء معاملة شرعية. يصف مكتب التحقيقات الفيدرالي هذه الأحداث بأنها عمليات سريعة لسحب النقود قد لا تُكتشف إلا بعد اختفاء الأموال.
بلوتوس ودور XFS
يشير التحذير إلى برمجيات خبيثة مثل عائلة بلوتوس (Ploutus). يستهدف بلوتوس امتدادات الخدمات المالية (XFS)، وهي الطبقة البرمجية التي تخبر أجهزة الصراف الآلي بما يجب القيام به. في الوضع الطبيعي، ترسل تطبيقات الصراف الآلي أوامر عبر XFS كجزء من معاملة تتطلب تفويضًا من البنك. إذا تمكن المهاجم من إصدار أوامره الخاصة إلى XFS، يمكنه تجاوز التفويض تمامًا وإصدار أوامر لجهاز الصراف الآلي لصرف النقود عند الطلب.
طرق الإصابة الشائعة: الوصول الفيزيائي يأتي أولاً
يؤكد تقرير مكتب التحقيقات الفيدرالي أن العديد من الهجمات تبدأ بالوصول الفيزيائي، غالبًا عن طريق فتح واجهة جهاز الصراف الآلي باستخدام مفاتيح عامة متاحة على نطاق واسع. بعد ذلك، يسرد المكتب طرق النشر الشائعة، بما في ذلك إزالة القرص الصلب، ونسخ البرمجيات الخبيثة عليه باستخدام جهاز كمبيوتر آخر، وإعادة تثبيته، وإعادة تشغيل جهاز الصراف الآلي، أو استبدال القرص بقرص “أجنبي” محمّل مسبقًا بالبرمجيات الخبيثة قبل إعادة التشغيل.
لماذا أجهزة الصراف الآلي المعتمدة على ويندوز في نطاق الهجوم
يؤكد مكتب التحقيقات الفيدرالي أن البرمجيات الخبيثة يمكن استخدامها عبر مختلف مصنعي أجهزة الصراف الآلي مع تعديلات قليلة نسبيًا، لأن الاختراق يستغل نظام التشغيل ويندوز في الأجهزة المتأثرة. توصف البرمجيات الخبيثة بأنها تتفاعل مباشرة مع مكونات جهاز الصراف الآلي وتقوم بصرف النقود دون الحاجة للوصول إلى حساب عميل البنك.
علامات الاختراق التي يجب أن يبحث عنها المدافعون
يسرد التحذير مجموعة من المؤشرات الرقمية التي تم ملاحظتها على أجهزة الصراف الآلي المتأثرة التي تعمل بنظام ويندوز، بما في ذلك ملفات تنفيذية مشبوهة مثل Newage.exe وColor.exe وLevantaito.exe وNCRApp.exe وsdelete.exe وPromo.exe وWinMonitor.exe وWinMonitorCheck.exe وAnydesk1.exe، بالإضافة إلى ملفات/سكريبتات مرتبطة مثل C.dat وRestaurar.bat، وأدلة جديدة تم إنشاؤها. كما يتضمن عدة تجزئات MD5 مرتبطة بالآثار الملاحظة.
بجانب الآثار المتعلقة بالملفات، يشير مكتب التحقيقات الفيدرالي إلى إمكانية إساءة استخدام أدوات الوصول عن بُعد (مثل TeamViewer/AnyDesk غير المصرح بها) ويبحث عن علامات غير عادية من خلال عمليات بدء التشغيل غير الطبيعية والخدمات المخصصة في مواقع سجل ويندوز.
مؤشرات فيزيائية/لوجستية تكشف عن مراحل التحضير
نظرًا لأن الجاك بوتينغ غالبًا ما يتضمن العبث في الموقع، يشير مكتب التحقيقات الفيدرالي أيضًا إلى “مؤشرات التفاعل الفيزيائي”، بما في ذلك أحداث إدخال USB واكتشاف الأجهزة المتصلة مثل لوحات المفاتيح USB وموزعات USB ومحركات الفلاش. تشمل العلامات التشغيلية الحمراء تنبيهات فتح باب جهاز الصراف الآلي خارج أوقات الصيانة، وحالات نقص النقود غير المتوقعة، والأجهزة غير المصرح بها المتصلة، وإزالة القرص الصلب.
إرشادات التخفيف: “صور ذهبية”، تدقيق وسائط قابلة للإزالة، وضوابط فيزيائية متعددة الطبقات
تعتبر إحدى أكثر الأقسام القابلة للتنفيذ في التحذير هي تأكيد مكتب التحقيقات الفيدرالي على أهمية الأساسيات والنزاهة: يوصي بالتحقق من ملفات/تجزئات أجهزة الصراف الآلي مقابل “صورة ذهبية” محكومة، ومعاملة الانحرافات، خاصة الثنائيات غير الموقعة أو الجديدة، كاختراق محتمل.
كما يوصي مكتب التحقيقات الفيدرالي بسياسة تدقيق مستهدفة حول استخدام التخزين القابل للإزالة، والتحكم في الوصول إلى الملفات، وإنشاء العمليات لاكتشاف أنشطة التحضير التي يمكن أن تتجنب المراقبة الشبكية.
على الجانب الفيزيائي، نصائح مكتب التحقيقات الفيدرالي واضحة: يجب جعل الوصول إلى الجهاز أكثر صعوبة وأسهل في اكتشاف العبث. يتضمن ذلك ترقية الأقفال بحيث لا تعمل المفاتيح العامة، وإضافة إنذارات لفتح الألواح الخدمية، واستخدام مستشعرات لاكتشاف الحركة غير العادية أو الحرارة، وتقييد الوصول إلى صندوق النقود، والتأكد من أن الكاميرات تغطي جهاز الصراف الآلي بشكل صحيح، مع الاحتفاظ بالتسجيلات لفترة كافية لتكون مفيدة.
كما يذكر خطوات تعزيز مثل تصنيف الأجهزة لمنع الاتصالات غير المصرح بها، والتحقق من نزاهة البرنامج الثابت (بما في ذلك التحقق من النزاهة المعتمد على TPM عند بدء التشغيل)، وتشفير الأقراص لتقليل فرصة إدخال البرمجيات الخبيثة عن طريق إزالة وتعديل قرص خارج الجهاز.
ما يطلبه مكتب التحقيقات الفيدرالي من المؤسسات للإبلاغ
لتقارير الحوادث، يشجع مكتب التحقيقات الفيدرالي المؤسسات على الاتصال بمكتبهم المحلي أو تقديم بلاغ عبر IC3، ويطلب تفاصيل عملية مثل معرفات البنك/الفرع، نوع/طراز جهاز الصراف الآلي، معلومات البائع، والتسجيلات المتاحة.
رأي بوابة الذكاء الاصطناعي
تسلط التحذيرات الصادرة عن مكتب التحقيقات الفيدرالي الضوء على التهديدات المتزايدة التي تواجه أجهزة الصراف الآلي، مما يستدعي اتخاذ تدابير وقائية فعالة. إن فهم كيفية تنفيذ هذه الهجمات يمكن أن يساعد المؤسسات في تعزيز أمانها. كيف يمكن للمؤسسات تحسين استراتيجياتها الأمنية لمواجهة هذه التهديدات المتزايدة؟
المصدر: الرابط الأصلي
