في 10 دقائق.. USB ينهب الملايين من أجهزة الصراف بلا بطاقات

13 فبراير 2026 - 01:08 | آخر تحديث 13 فبراير 2026 - 01:08

--:--

تابع قناة عكاظ على الواتساب

«عكاظ» (جدة) OKAZ_ONLINE@

لم يحتج الأمر إلى بطاقات مصرفية مسروقة، ولا إلى اختراق حسابات عملاء. فكل ما تطلبه الهجوم كان وحدة USB و10 دقائق فقط.

في واحدة من أوسع قضايا الاحتيال التقني في الولايات المتحدة، كشفت هيئة محلفين اتحادية في نبراسكا توجيه اتهامات إلى 31 شخصًا إضافيًا ضمن شبكة يُشتبه بأنها نفذت هجمات منظمة على أجهزة الصراف الآلي، ليرتفع عدد المتهمين إلى 87 شخصًا.

الأسلوب المستخدم يُعرف في عالم الأمن السيبراني باسم «Jackpotting»، وهي تقنية تجبر جهاز الصراف الآلي على قذف الأموال نقدًا استجابةً لأوامر غير مصرح بها، وكأن الجهاز تحول إلى ماكينة توزيع مجانية للنقود.

كيف حدث ذلك؟

أجهزة الصراف ليست سوى حواسيب متخصصة، وغالبًا ما تعمل بأنظمة تشغيل تقليدية مثل ويندوز. وبمجرد الحصول على وصول فعلي إلى مكوناتها الداخلية، يمكن التعامل معها كما يُتعامل مع أي كمبيوتر. ووفقًا للائحة الاتهام، كان أفراد الشبكة يفتحون الغلاف الخارجي للجهاز، ثم يوصلون وحدة تخزين خارجية تحتوي على نسخة معدلة من برمجية خبيثة تُعرف باسم «Ploutus».

هذه البرمجية لا تسرق بيانات بطاقات، بل تتجاوز النظام المصرفي بالكامل، وترسل أوامر مباشرة لوحدة صرف النقد داخل الجهاز.

والنتيجة هي جعل الأموال تتدفق من فتحة الصراف، دون أي بطاقة.

وكشفت التحقيقات أن المجموعات كانت تستطلع مواقع البنوك مسبقًا، وتراقب الكاميرات وأنظمة الإنذار، وتتحرك باستخدام عدة مركبات.

وبعد فتح الجهاز والتأكد من عدم وجود استجابة أمنية، تُثبت البرمجية خلال دقائق. ومن اللافت أن العملية الكاملة (من الفتح إلى الحصول على الأموال) لم تكن تستغرق أكثر من 10 دقائق.

ولزيادة التعقيد، صُممت البرمجية لحذف آثارها بعد التنفيذ، ما جعل اكتشاف الاختراق أكثر صعوبة.

ومن المفارقات أن برمجية «Ploutus» ليست جديدة، إذ ظهرت أول مرة في المكسيك عام 2013، لكنها تطورت بمرور السنوات. وفي بعض النسخ السابقة كان يمكن تفعيلها حتى عبر رسالة نصية تُرسل إلى هاتف مخفي داخل الجهاز. واليوم، تعود هذه التقنية إلى الواجهة في واحدة من أكبر القضايا المرتبطة باختراق أجهزة الصراف في الولايات المتحدة.

ويواجه المتهمون تهمًا تشمل الاحتيال المصرفي وسرقة البنوك وجرائم إلكترونية، وقد تصل العقوبات (في حال الإدانة) إلى مئات السنوات من السجن مجتمعة.

ومع أن لائحة الاتهام لا تعني الإدانة النهائية، فإن القضية تسلط الضوء على حقيقة مقلقة مفادها أن أجهزة الصراف، رغم مظهرها الصلب، قد تكون أضعف مما نتصور إذا وصل إليها الشخص الخطأ.

It did not require stolen bank cards, nor the hacking of customer accounts. All the attack needed was a USB unit and just 10 minutes.

In one of the largest cases of technical fraud in the United States, a federal grand jury in Nebraska revealed charges against 31 additional individuals within a network suspected of carrying out organized attacks on ATMs, raising the total number of defendants to 87.

The method used is known in the cybersecurity world as "Jackpotting," a technique that forces an ATM to dispense cash in response to unauthorized commands, as if the machine has turned into a free cash dispenser.

How did this happen?

ATMs are just specialized computers, often running on traditional operating systems like Windows. Once physical access to their internal components is obtained, they can be treated like any computer. According to the indictment, network members would open the device's outer casing, then connect an external storage unit containing a modified version of malware known as "Ploutus."

This malware does not steal card data but bypasses the entire banking system, sending direct commands to the cash dispensing unit inside the machine.

The result is making money flow from the ATM slot, without any card.

Investigations revealed that the groups would scout bank locations in advance, monitor cameras and alarm systems, and move using multiple vehicles.

After opening the device and confirming there was no security response, the malware would be installed within minutes. Notably, the entire process (from opening to obtaining the cash) took no more than 10 minutes.

To increase complexity, the malware was designed to delete its traces after execution, making the breach harder to detect.

Ironically, the "Ploutus" malware is not new; it first appeared in Mexico in 2013, but it has evolved over the years. In some earlier versions, it could even be activated via a text message sent to a hidden phone inside the device. Today, this technique has resurfaced in one of the largest cases related to ATM hacking in the United States.

The defendants face charges including bank fraud, bank theft, and cybercrimes, with potential penalties (if convicted) amounting to hundreds of years in prison combined.

While the indictment does not imply a final conviction, the case highlights a troubling reality that ATMs, despite their solid appearance, may be weaker than we imagine if the wrong person gains access.

أمريكا الأمن السيبراني

--°C

في 10 دقائق.. USB ينهب الملايين من أجهزة الصراف بلا بطاقات

كيف حدث ذلك؟

How did this happen?

آخر الأخبار

--°C

في 10 دقائق.. USB ينهب الملايين من أجهزة الصراف بلا بطاقات

كيف حدث ذلك؟

How did this happen?

«أُمٌّ» تقفز إلى البحر للانتحار.. فتنجو ويغرق طفلها في مرمرة

كاميرات المستشفى تكشف أمَّاً تحقن طفلها بمادة خطيرة

القبض على 9 أشخاص مشتبه بهم في مخطط احتيال يتعلق بتذاكر متحف اللوفر

آخر الأخبار

كسوف الشمس في يوم تحري هلال رمضان.. هل يتأثر إعلان الشهر؟

وائل جسار يوجه رسالة لهيفاء وهبي وفضل شاكر.. ما القصة؟

كيف استغلت مصرية موسم العمرة لتصبح مليونيرة؟

زيارة الأمير ويليام للعُلا تعزّز الشراكة السعودية البريطانية في الثقافة والاستدامة

منع أصحاب السجلات الحديثة من التملك مجددًا قبل 6 أشهر

محمد سامي يرد على جدل نجومية محمد رمضان.. ما القصة؟

بالفيديو.. المرداسي يكشف النادي السعودي الأكثر استفادة من ركلات الجزاء غير الصحيحة!

فيديو «بتر الأصابع» الصادم يقود لسقوط 7 متهمين في «طنطا»

المصلون يؤدون صلاة الاستسقاء في جميع مناطق المملكة

تكريم تركي آل الشيخ بجائزة مكة للتميّز لعام 2025 عن مشروع «على خطاه»