Há uma história que ainda me surpreende toda vez que penso nela. Um rapaz de 17 anos de Tampa. Sem sindicato de hackers. Sem uma equipa russa de elite. Apenas um adolescente sem dinheiro, com um telemóvel, um portátil e a audácia de realizar um dos ataques de engenharia social mais insanos já registados. Esta é a verdadeira história de Graham Ivan Clark — e de como ele basicamente hackeou a própria natureza humana.

15 de julho de 2020. Lembro-me de assistir a tudo isto a acontecer em tempo real. Conta de Elon Musk. Obama. Bezos. Apple. Até Biden. Todos a publicar exatamente a mesma coisa: Envia-me $1.000 em Bitcoin e eu devolvo-te $2.000. No início, todos pensaram que era uma brincadeira elaborada. Mas não era. Os tweets estavam ao vivo. O Twitter tinha sido completamente comprometido. Alguém tinha acesso de modo "god-mode" às vozes mais poderosas da plataforma.

Em poucos minutos, mais de $1 0 Bitcoin foram enviados para carteiras controladas pelo atacante. Em horas, o Twitter bloqueou todas as contas verificadas globalmente — algo que literalmente nunca tinha acontecido antes. E o cérebro por trás disto? Não era uma figura sombria numa cave. Era apenas Graham Ivan Clark. Um adolescente.

Aqui é que fica mais escuro. Graham não cresceu numa cidade tecnológica. Tampa, Flórida. Família desfeita. Sem dinheiro. Enquanto outros miúdos jogavam só jogos, ele já fazia esquemas dentro do Minecraft — amizades, venda de itens falsos, roubo de dinheiro, desaparecendo sem deixar rasto. Quando YouTubers tentaram expô-lo, ele hackeou os canais deles por vingança. Foi aí que percebi que isto não era só por dinheiro. Era por controlo. A enganação tornou-se a sua língua materna.

Aos 15 anos, já estava profundamente envolvido no OGUsers — este fórum de hackers notório onde as pessoas trocam contas roubadas de redes sociais. Mas aqui está o truque: Graham Ivan Clark não precisava de ser um génio da programação. Era um engenheiro social. Psicologia pura. Usava charme, pressão, manipulação — o que fosse necessário.

Depois descobriu o troca de SIM. Aos 16 anos, dominou isso. Basicamente, convencia funcionários de operadoras telefónicas a transferir o controlo dos números de telefone das pessoas para ele. Um truque. Era tudo o que precisava para aceder a emails, carteiras de criptomoedas, contas bancárias — tudo. Ele já não roubava nomes de utilizador. Roubava vidas.

Uma vítima foi um capitalista de risco chamado Greg Bennett. Acordou numa manhã e descobriu que mais de $4 milhões em Bitcoin tinham desaparecido. Quando tentou contactar os atacantes, eles enviaram-lhe uma mensagem: Paga ou vamos à tua família. Este é o nível de crueldade de que estamos a falar.

Mas o dinheiro tornou Graham Ivan Clark imprudente. Começou a enganar os seus próprios parceiros hackers. Eles expuseram-no. Apareceram na porta de sua casa. A sua vida offline estava a descontrolar-se — negócios de droga, ligações a gangues, caos. Uma operação correu mal. O amigo dele foi morto a tiro. Ele alegou inocência e, de alguma forma, saiu livre.

2019. A polícia faz uma busca à sua casa. Encontram 400 Bitcoin — quase $1 milhões. Negocia. Devolve milhões para "fechar o caso". Tinha 17 anos. Como era menor, ficou com o resto. Legalmente. Já tinha vencido o sistema uma vez. Mas não tinha acabado.

Em 2020, Graham Ivan Clark tinha um último objetivo antes de fazer 18 anos: hackear o próprio Twitter. Os confinamentos por COVID significavam que os funcionários do Twitter trabalhavam de casa. Logins remotos. Dispositivos pessoais. Ele e outro adolescente disfarçaram-se de suporte técnico interno. Ligaram aos funcionários, disseram que precisavam de redefinir credenciais, enviaram páginas de login falsas da empresa. Dezena de pessoas caiu na armadilha.

Passo a passo, subiram na hierarquia interna do Twitter até encontrarem — uma conta de "modo Deus". Um painel que podia redefinir qualquer palavra-passe em toda a plataforma. Dois adolescentes de repente controlavam 130 das contas mais poderosas do mundo.

Às 20h de 15 de julho, os tweets foram enviados. A internet ficou em silêncio. Contas verificadas bloqueadas. Celebridades em pânico. Os hackers poderiam ter derrubado mercados, divulgado mensagens privadas, espalhado alertas falsos de guerra, roubado bilhões. Em vez disso, limitaram-se a farmar Bitcoin. Já não era só por dinheiro. Era por provar que conseguiam controlar o megafone mais poderoso da internet.

O FBI rastreou-o em duas semanas. Registos de IP. Mensagens no Discord. Dados de SIM. Graham Ivan Clark enfrentou 30 acusações de crimes graves — roubo de identidade, fraude eletrónica, acesso não autorizado a computadores. Até 210 anos de prisão. Mas fez um acordo. Como menor, cumpriu apenas 3 anos em regime de menores e 3 anos de liberdade condicional. Hackeou o mundo aos 17. Saiu livre aos 20.

Hoje, está livre. Rico. E aqui está a ironia que me mantém acordado à noite: o Twitter agora é X, inundado de esquemas de criptomoedas todos os dias. Os mesmos esquemas que fizeram Graham ficar rico. As mesmas truques que enganaram o mundo. As mesmas vulnerabilidades psicológicas que ainda funcionam em milhões de pessoas.

A verdadeira lição aqui? Os golpistas como Graham Ivan Clark não hackeiam sistemas — hackeiam pessoas. Exploram emoções. Medo. Ganância. Confiança. Essas são as vulnerabilidades que realmente importam. Nunca confies na urgência. Nunca partilhes credenciais. Não assumes que contas verificadas são seguras. Sempre verifica URLs antes de fazer login. Engenharia social não é técnica — é psicológica.

Graham Ivan Clark provou algo brutal: não precisas de quebrar o sistema se conseguires enganar as pessoas que o gerem. Essa é a verdadeira hack que ainda ressoa.