FBI示警2025年ATM吐鈔攻擊暴增，占近五年通報逾三成、損失逾2,000萬美元

美國聯邦調查局（FBI）於2月19日發布警示文件，指出全美ATM吐鈔攻擊（ATM jackpotting）事件增加。FBI表示，自2020年以來共通報1,900起相關案件，光是2025這一年即超過700起，占近五年通報總數逾三成，損失金額超過2,000萬美元。

除了技術警示，美國司法部亦於去年底起訴涉及數十名被告的跨州ATM吐鈔攻擊共謀案。起訴書指出，被告被控利用Ploutus類惡意程式攻擊美國多州ATM設備，相關指控涵蓋銀行詐欺與電腦犯罪。

FBI說明，ATM吐鈔攻擊主要透過在ATM設備上部署惡意程式，使機器在未經合法交易授權的情況下逕自出鈔。近期觀察到的案件多涉及Ploutus家族惡意程式。該惡意程式會濫用eXtensions for Financial Services（XFS）軟體層。XFS負責將ATM應用程式指令傳遞至硬體設備。正常情況下，ATM應用程式須經銀行授權後才會發出出鈔指令；若攻擊者自行向XFS發送指令，即可繞過銀行授權程序，直接控制出鈔動作。Ploutus惡意程式可在不同廠牌ATM上運作，原因在於多數ATM設備使用Windows作業系統，攻擊者僅需對程式碼做少量調整即可適用於不同設備。

在入侵方式上，FBI指出，攻擊者多先透過打開ATM面板取得實體存取權限，常見手法包括：移除ATM硬碟並連接至外部電腦寫入惡意程式，再將硬碟裝回並重新開機，或直接以預先植入惡意程式的儲存裝置替換原有硬碟。文件亦提及，攻擊過程可能涉及USB裝置插入、建立自訂服務項目，以及出現異常可執行檔等跡象。

Ploutus惡意程式已存在超過10年，在2017年與2018年間曾達到活動高峰。儘管近年較少成為資安焦點，此次通報顯示該惡意程式仍出現實際濫用跡象。過往執法單位亦曾提及，Ploutus具備自動刪除自身程式痕跡的機制，可在完成攻擊後移除相關檔案，提高事後數位鑑識與調查難度。

過往資安研究指出，ATM吐鈔攻擊大致可分為兩類管道：一類為利用遠端管理系統或相關伺服器的安全漏洞植入惡意程式，進而自遠端控制ATM吐鈔；另一類則是透過USB隨身碟等可移除媒體，將惡意程式直接植入ATM設備，後者須實際接觸現場設備才能完成部署。FBI此次揭露的多數案件，涉及實體開啟設備與本機植入惡意程式的情況。

臺灣過去亦曾發生類似事件。2016年7月，臺灣第一銀行ATM遭大規模盜領，攻擊者透過植入惡意程式遠端控制設備強制出鈔。後續調查指出，攻擊涉及入侵銀行內部網路並橫向移動至ATM系統。

另一方面，針對ATM系統安全管理，臺灣銀行公會於2025年5月通過修正《金融機構提供自動櫃員機系統安全作業規範》，新版規範特別針對ATM作業系統原廠終止技術支援或停止提供安全更新的情況，要求金融機構評估相關資安風險，並提出補強措施或規畫汰換作業系統。這份規範並要求，在無法立即升級的情況下，應採取替代性防護機制，如採用具Virtual Patching功能的WAF或IPS，或採網段隔離機制並限制同網段主機間連線及資源存取，且應儘速完成補強措施或汰換。