FBI varnar för kraftig ökning av bankomattömningar med skadlig kod

När äldre kontantmaskiner möter en hotbild som är anpassad för revisorer snarare än verkliga angripare uppstår det som i amerikansk polisjargong kallas ”jackpotting”: automaten förvandlas till en sedelkanon.

Enligt tekniksajten TechCrunch har Förenta staternas federala polismyndighet utfärdat en varning om att sådana angrepp ökar kraftigt. Myndigheten hänvisar till över 700 angrepp mot kontantautomater under 2025 och minst 20 miljoner dollar i stulet kontantbelopp. Metoden är brutalt enkel: brottslingar får fysisk tillgång till automaten – ibland med hjälp av generiska nycklar för att öppna frontpaneler och nå interna komponenter – och installerar därefter skadlig kod som beordrar maskinen att mata ut sedlar på kommando.

Det anmärkningsvärda är vad som angrips. Enligt den federala polisens varning riktas angreppen mot själva automaten, inte mot kundernas konton. Det möjliggör ”snabba kontantuttag” som kan genomföras på minuter och som kanske inte upptäcks förrän pengarna redan är borta. Ingen nätfiskeoperation, ingen massprövning av lösenord, inget kapat konto – bara en komprometterad slutpunkt som lydigt gör som den blir tillsagd.

Varningen lyfter fram en skadlig kodfamilj som kallas Ploutus, vilken enligt TechCrunch riktar in sig på det Windows-baserade operativsystem som fortfarande driver många kontantautomater. Ploutus kan ge full kontroll över en infekterad maskin och utnyttja ett programskikt för finansiella tjänster som automater använder för att kommunicera med hårdvarumoduler som kortläsare, kodpanel och sedelutmatare. Säkerhetsforskare har varnat för svagheter i detta skikt i åratal; den numera avlidne Barnaby Jack demonstrerade redan 2010 på en säkerhetskonferens hur man kunde få automater att betala ut kontanter.

Varför är detta fortfarande en företeelse 2025? Därför att drivkrafterna är bakvända. Banker och operatörer optimerar för efterlevnadslistor – uppdateringsrutiner, leverantörsintyg och ”säkra” inställningar på papper – medan den verkliga angreppsytan är fysisk åtkomst i kombination med en enhetlig programvarubas. Om en stor andel automater bygger på samma Windows- och mellanskiktslösning behöver brottslingar inte komma på geniala nyheter, bara metoder som går att skala upp.

Sedan kommer frågan som inga myndighetsbulletiner besvarar: vem tar förlusten? Angreppet belastar inte kundernas konton, så den prydliga budskapslinjen blir att ”kunderna är säkra”. Men kontanterna försvinner ändå. Notan hamnar hos banker, fristående automatoperatörer eller butiker som upplåter plats åt maskinerna – och vältras till sist över i avgifter, högre priser och de vanliga påslagen för ”bedrägeriförebyggande”.

Den förutsägbara politiska reaktionen blir att ”säkra kontanter” genom att behandla alla som misstänkta: mer övervakning kring automater, mer fjärrmätning, mer centralstyrning och – om historien är vägledande – mer inlåsning hos leverantörer som säljs in som trygghet. Samma institutioner som inte kan skydda en låda fastbultad i golvet med någon större tillförlitlighet vill gärna ha mer kontroll över hur alla andra rör sina pengar.

Detta är ingen gåta. Det är en affärsmodell som möjliggörs av skör infrastruktur och en styrningskultur som tar pappersarbete för säkerhet. I en svensk kontext, där kontanter redan trängts undan av bankernas och politikens centraliserade betalningslösningar, borde det väcka en obekväm fråga: om man inte klarar att skydda det gamla, varför ska man då ges ännu större mandat över det nya?