Se achavas que os grandes ataques bancários começavam sempre com um hacker numa cave cheia de monitores, podes esquecer essa imagem. Isso é coisa de filme ou série. Aliás, a nova vaga de ataques às caixas multibanco nos Estados Unidos está a acontecer com métodos quase primitivos, mas incrivelmente eficazes.
O alerta foi lançado pelo FBI, que fala num aumento significativo de ataques físicos às ATMs. Não estamos a falar de intrusões remotas ou falhas em apps bancárias. Estamos a falar de abrir a máquina com uma chave de manutenção genérica, ligar uma pen USB e instalar malware diretamente no sistema.
Sim, é mesmo assim tão simples.
Jackpotting voltou em força
Este tipo de ataque é conhecido como jackpotting, porque o objetivo é forçar a máquina a libertar dinheiro sem qualquer cartão, PIN ou validação de conta. Dinheiro que não vem tingido por tinta, como pode muitas vezes acontecer em assaltos banais.
Ou seja, depois de abrir o compartimento técnico da ATM, os atacantes acedem ao disco interno e carregam um software malicioso ou substituem o disco por outro já infetado. Quando a máquina reinicia, o código entra em ação e permite assumir controlo total do sistema.
O malware mais utilizado chama se Ploutus, uma ameaça que já não é nova mas continua a funcionar porque a base tecnológica destas máquinas pouco mudou ao longo dos anos.
O verdadeiro problema não é só o Windows
Grande parte das ATMs continua a funcionar com versões antigas do Windows, incluindo o Windows 7, lançado em 2009 e abandonado há muito em termos de atualizações de segurança regulares. I
sto por si só já levanta dúvidas, mas o ponto mais crítico está na camada intermédia chamada XFS, responsável por traduzir os comandos entre o sistema operativo da máquina e os servidores do banco.
O Ploutus não precisa de contornar o sistema bancário tradicional nem de quebrar firewalls complexas. Basta enviar instruções diretamente para essa camada XFS, que trata de executar a ordem como se fosse legítima. O resultado é dinheiro a sair da máquina como se alguém tivesse ganho o prémio máximo num casino.
Os números começam a assustar
Desde 2020 foram registados cerca de 1.900 casos de jackpotting nos Estados Unidos. Só em 2025 aconteceram aproximadamente 700 ataques, com prejuízos superiores a 20 milhões de dólares. O mais preocupante é que isto não está ligado a uma marca específica ou a um banco isolado, porque a maioria das ATMs partilha arquiteturas semelhantes e depende de software antigo que já não recebe manutenção adequada.
E em Portugal?
É impossível não fazer a pergunta. Quantas máquinas na Europa continuam a funcionar com infraestruturas envelhecidas. Quantas ainda têm portas USB ativas e fechaduras padronizadas que podem ser adquiridas online.
A rede Multibanco portuguesa é conhecida por ser robusta e centralizada, mas isso não significa que esteja imune a falhas físicas se o hardware não for devidamente protegido. Quando o ponto fraco deixa de ser digital e passa a ser físico, a conversa muda completamente.
O que pode ser feito?
O FBI recomenda medidas que parecem básicas mas que fazem toda a diferença, como monitorizar ficheiros executáveis nas ATMs, desativar portas USB desnecessárias, substituir fechaduras genéricas por sistemas com código e instalar sensores que detetem adulterações físicas. O problema está na escala e no custo, porque estamos a falar de centenas de milhares de máquinas espalhadas… Por todo o lado.
No meio de toda a conversa sobre inteligência artificial, cibersegurança avançada e infraestruturas críticas, continuamos a descobrir que basta uma chave universal e uma pen USB para comprometer sistemas financeiros inteiros.
