“Ketika transaksi yang sah terjadi, aplikasi ATM mengirimkan instruksi melalui XFS untuk otorisasi bank,” kata FBI, dilansir dari TechRadar, Senin (23/2/2026).

Biro tersebut menambahkan, apabila pelaku ancaman atau threat actor dapat mengeluarkan perintah ke XFS, mereka dapat sepenuhnya melewati otorisasi bank dan menginstruksikan ATM untuk mengeluarkan uang tunai sesuai permintaannya.

“Akibatnya, Ploutus memungkinkan pelaku ancaman untuk memaksa ATM mengeluarkan uang tunai tanpa menggunakan kartu bank, rekening pelanggan, atau otorisasi bank,” ungkap FBI.

Di samping itu, perampokan ATM pertama kali terdeteksi sejak 2020 lalu dan sejak saat itu, sekitar 1.900 kasus serupa di Amerika Serikat (AS) telah dilaporkan. Pada 2025, terdapat 700 kasus yang dilaporkan, yang setara dengan sekitar 37% dari semua insiden.

Dalam serangan ini, nasabah bank bukanlah korban, melainkan bank itu sendiri. Karena penyerang tak memiliki kartu, kode nomor identifikasi pribadi (personal identification number/PIN), atau nomor rekening bank milik nasabah, serta dana mereka tetap utuh.

(far/wep)