Pentest ATM: Jackpotting, Black Box, Ataque Lógico
Pentest de caixa eletrônico: jackpotting, black box, ataque físico ao Windows do ATM, comunicação com banco, hardening de hardware.
Por que agora
A dor real
ATM no Brasil ainda roda Windows XP/7 embarcado, com USB exposto atrás do dispenser. Jackpotting (extração via black box) é técnica documentada e barata. Banco que não testa ATM perde milhões em ataque coordenado.
Frameworks aplicáveis
/superficie-de-ataque
Pentest ATM
Cada engajamento é desenhado para o seu ambiente. Os pontos abaixo são parte do nosso playbook padrão neste setor — adaptamos o escopo final ao seu stack e contrato.
Ataque físico ao Windows do ATM
USB drop atrás do dispenser, boot via USB/CD, escalada local, manipulação de XFS.
Jackpotting / black box
Conexão direta ao dispenser via USB/cabo, comando de saída de cédulas.
Comunicação com banco central
Auditoria de canal (VPN/leased line), criptografia da mensagem ISO 8583, integridade.
Hardening físico
Lockbox, anti-skimming, anti-tampering, gravação CCTV, alarme.
Recarga e manutenção
Procedimento de recarga, dupla custódia, acesso de prestador, log fiscal.
/metodologia
Pentest manual de verdade
Scanner automatizado encontra o que está documentado. Atacante real encontra o que não está. 90% do trabalho é manual — feito por especialistas com OSCP, CISSP, CRTO e GPEN.
01 · Reconhecimento
Mapa do alvo, OSINT, footprint, modelagem de ameaça específica do setor.
02 · Descoberta
Enumeração profunda, scan complementar, identificação manual de exposição.
03 · Exploração
Validação manual com PoC controlada, encadeamento de findings, escalação.
04 · Relatório
Executivo + técnico, replicação passo a passo, mapeado para regulação.
/por-que-confiar
Quem já confiou no nosso trabalho
Engajamentos confidenciais em instituições financeiras com rede própria de ATM.
Avaliação técnica reconhecida em ambientes regulados de alta criticidade — o pentest que encontra o que ninguém tinha encontrado antes.
Douglas Lopes
Founder · CEO · intrus.io
/crivo · programa de integridade
dos candidatos a pentester reprovam no nosso Crivo
Você sabe quem vai ter acesso ao seu ambiente?
NDA vale no tribunal. Não vale no dia a dia. Antes do primeiro acesso, todo pentester nosso passa por background, perfil psicométrico e teste de integridade.
- Verificação criminal, fiscal e profissional aprofundada
- Avaliação psicométrica e perfil de risco
- Teste de integridade prático com cenários controlados
- Time fixo — não rotativo, sem 'estranho a cada engajamento'
/faq
FAQ — Pentest ATM
Vocês quebram ATM em campo?
Apenas com autorização do banco + ATM dedicado a teste (não em produção). Trabalhamos em laboratório do cliente ou ATM isolado.
Faixa de preço?
Pentest amostral em 5-10 ATMs: R$ 40-90k. Rede de ATM com 100+ unidades: R$ 100-280k amostral com plano.
/contato
Conversar confidencialmente
Marque uma reunião confidencial. Em até 48h enviamos a proposta com escopo, prazo e valor.