Alguma vez te questionaste como um adolescente sem dinheiro da Flórida quase quebrou toda a internet? Deixa-me falar-te de Graham Ivan Clark — e confia, esta história vai mudar para sempre a tua forma de pensar sobre segurança.

Não foi uma seita de hackers russos de elite. Nem foi código sofisticado. Foi um rapaz com um portátil, um telemóvel, e uma audácia que não faz sentido até perceberes que, na verdade, funcionou. Em 15 de julho de 2020, Graham Ivan Clark e um cúmplice fizeram algo que ainda parece impossível: assumiram o controlo do Twitter.

Mas vamos recuar. Quem era este rapaz antes do ataque?

Graham cresceu em Tampa sem nada — família desfeita, sem dinheiro, sem perspetivas reais. Enquanto os rapazes da idade dele só jogavam, ele já fazia esquemas por dentro deles. Fazia amizades, roubava itens do jogo, apanhava o dinheiro e desaparecia. Quando tentavam expô-lo online, ele hackeava os canais deles. Aos 15 anos, já não era só brincadeira. Entrou no OGUsers, um fórum onde hackers trocavam contas roubadas de redes sociais. Mas aqui está o pormenor — ele não precisava de programar. Tinha algo melhor: entendia as pessoas.

Aos 16, Graham dominou o troca de SIM. É a arte de ligar para operadoras, convencer os funcionários de que é o dono da conta, e fazerem transferir os números de telefone para ele. Uma vez que controlas o número, controlas o email, as carteiras de criptomoedas, as contas bancárias — tudo. As vítimas dele incluíam investidores ricos em criptomoedas que publicavam sobre os seus fundos online. Um capitalista de risco acordou a ver mais de 1 milhão de BTC desaparecido. Quando contactou os ladrões, a resposta foi arrepiante: Paga ou vamos à tua família.

O dinheiro fez Graham tornar-se imprudente. Enganou os seus próprios parceiros hackers. Foram a sua casa, expuseram-no. A sua vida offline descontrolou-se — negócios de droga, ligações a gangues, violência. Um amigo foi morto num negócio mal sucedido. Graham alegou inocência e, de alguma forma, saiu livre. Em 2019, a polícia invadiu o seu apartamento e encontrou 400 BTC, avaliados em quase 4 milhões de dólares. Devolveu 1 milhão para encerrar o caso. Tinha 17 anos. Como era menor, manteve o resto legalmente.

Depois veio o movimento final.

Em meados de 2020, Graham Ivan Clark tinha um objetivo antes de fazer 18 anos: hackear o próprio Twitter. A empresa estava em caos — confinamentos por COVID significavam funcionários a trabalhar de casa, a fazer login de dispositivos pessoais. Graham e outro adolescente cúmplice fingiram ser suporte técnico interno. Ligaram para funcionários do Twitter, disseram que precisavam de redefinir credenciais, e enviaram páginas de login falsas da empresa. Dezena de pessoas caiu na armadilha. Os rapazes subiram na hierarquia interna do Twitter até encontrarem algo incrível: uma conta modo Deus que podia redefinir qualquer palavra-passe na plataforma.

De repente, dois adolescentes controlavam 130 das contas mais poderosas do mundo.

Às 20h de 15 de julho, os tweets caíram: Envia BTC, recebe o dobro. Elon Musk, Obama, Bezos, Apple, Biden — todos a postar a mesma mensagem. A internet congelou. Em minutos, mais de 110 mil dólares em Bitcoin entraram nas suas carteiras. O Twitter desativou todas as contas verificadas globalmente — algo que nunca tinha acontecido antes. Os hackers podiam ter derrubado mercados, divulgado mensagens privadas, espalhado alertas falsos de guerra. Em vez disso, só fizeram farm de criptomoedas. Era uma prova de que conseguiam controlar o megafone mais forte da internet.

O FBI apanhou-os em duas semanas, usando registos de IP e mensagens no Discord. Graham Ivan Clark enfrentou 30 acusações graves — roubo de identidade, fraude eletrónica, acesso não autorizado a computadores. Pena potencial: 210 anos. Mas negociou. Como era menor, cumpriu apenas 3 anos em prisão juvenil e 3 anos de liberdade condicional. Tinha 17 quando hackeou o mundo. Tinha 20 quando saiu livre. Rico. Intocável.

E o mais louco: a plataforma X, do Elon, está agora inundada de esquemas de criptomoedas todos os dias. Os mesmos esquemas que fizeram Graham ficar rico. A mesma psicologia ainda funciona com milhões.

Então, qual é a verdadeira lição? Os scammers como Graham Ivan Clark não hackeiam sistemas — hackeiam pessoas. Exploram emoções. Medo, ganância, confiança. Nunca confies na urgência. Empresas reais não precisam de pagamentos instantâneos. Nunca partilhes códigos ou credenciais. Não confies em contas verificadas — são as mais fáceis de imitar. Sempre verifica URLs antes de fazer login.

A verdade brutal que Graham provou: não precisas de quebrar o sistema se conseguires enganar as pessoas que o gerem. Engenharia social não é sobre código. É sobre psicologia. E isso é muito mais perigoso.