פושעי סייבר גנבו למעלה מ- 20 מיליון דולר מכספומטים שנפרצו בשנה שעברה באמצעות נוזקות. מגמה זו, לטענת ה- FBI, נמצאת במגמת עלייה ברחבי ארצות הברית. פושעי הסייבר עושים זאת באמצעות ATM jackpotting – מתקפה סייבר-פיזית שבה הם מנצלים פגיעויות פיזיות ותוכנות בכספומטים, על מנת לפרוס נוזקות המורות לכספומט להוציא מזומן לפי דרישה ללא אישור בנק. מתוך 1,900 אירועים כאלו שדווחו מאז 2020, כ- 700 מהם התרחשו בשנת 2025.
פושעי הסייבר משיגים בדרך כלל גישה ראשונית לכספומט באמצעות מפתחות גנריים אשר פותחים את חזית הכספומט ולאחר מכן, הם מדביקים את הכספומט בנוזקה – בין אם על ידי הסרת הכונן הקשיח של הכספומט והעתקת הנוזקה אליו לפני החזרתה למכונה, או פשוט על ידי החלפת הכונן הקשיח שבכספומט בכונן טעון מראש עם קוד jackpoting. נוזקת Ploutus המשמשת בדרך כלל במתקפות אלו, מנצלת את eXtensions for Financial Services (XFS) API בתקן פתוח בו משתמשים כספומטים, מסופי קופה ומכשירים דומים המפעילים יישומי בנקאות. הדבר מאפשר לנוזקה לעבוד על פני חומרה של ספקים שונים ולהורות לכספומט מה לעשות – לדוגמה, לשלוח את העסקה לאישור הבנק ולאחר מכן לאפשר משיכת מזומן. עם זאת, מאפשרת הנוזקה לפושעי הסייבר להוציא פקודות משלהם ל- XFS, לעקוף את הרשאת הבנק ולהורות לכספומט להוציא מזומן לפי דרישתם.
בעוד שמתקפות אלו אינן פוגעות בלקוחות הבנקאות – בניגוד לסקימינג אשר גונב את נתוני כרטיסי האשראי ואת קודי ה- PIN של אנשים – jackpoting של כספומט עולה למוסדות פיננסיים עשרות מיליוני דולרים בהפסדים. בנוסף, קשה לזהות אירועים אלו עד לאחר משיכת המזומן.
בהתראתו פירט ה- FBI מפרט מספר אינדיקטורים דיגיטליים לפריצה לכספומטים המריצים מערכת הפעלה Windows. ישנם גם מספר אינדיקטורים פיזיים, כגון מזהי אירועים העשויים להופיע כאשר התקני אחסון USB מוכנסים לכספומט שנפרץ ואינדיקטורים כמו חוסר במזומן, התקנים בלתי מורשים המחוברים לכספומט או כוננים קשיחים שהוסרו ממנו.
