Ты когда-нибудь замечал, что самые крупные нарушения безопасности не всегда связаны с сложным кодом? Я читал о случае, который идеально это доказывает — и честно, это безумие.

Итак, в июле 2020 года Twitter был полностью взломан. Но не каким-то элитным российским киберподразделением или сложной группой APT. Это был подросток. 17-летний из Тампы, Флорида, по имени Грэм Иван Кларк, у которого было практически ничего, кроме ноутбука, телефона и такой дерзости, что она могла заставить Силиконовую долину потеть.

Вот что произошло: 15 июля проверенные аккаунты начали публиковать одинаковые сообщения. Илон Маск, Обама, Безос, Apple, Байден — все говорили одно и то же. Отправляйте биткоины, получите двойной возврат. Это выглядело смешно, правда? Как очевидная мошенническая схема. Но люди действительно повелись. За несколько минут в кошельки поступило более 110 000 долларов в биткоинах. Twitter пришлось отключить все проверенные аккаунты по всему миру — такого раньше не случалось.

Самое безумное? Грэм Иван Кларк не нуждался в том, чтобы быть мастером-программистом. Он не взламывал шифрование и не использовал нулевые уязвимости. Он просто звонил сотрудникам Twitter, притворялся техподдержкой и заставлял их сбрасывать пароли. Во время карантина из-за COVID все работали из дома, входили в систему с личных устройств. Социальная инженерия была почти до смешного простой. Он и его сообщник поднялись по внутренней иерархии, пока не нашли аккаунт с "Божественным режимом", который позволил им управлять 130 самыми влиятельными аккаунтами платформы.

До этого взлома Грэм уже годами занимался мошенничеством. Начинал с аккаунтов Minecraft, перешел к SIM-заменам — убеждал телефонные компании отдавать контроль над номерами других людей. Так он получал доступ к криптокошелькам и почтовым аккаунтам. Один венчурный капиталист по имени Грег Беннетт проснулся и обнаружил, что у него украли более миллиона долларов в биткоинах. Когда жертвы пытались договориться, им угрожали расправой с их семьями.

Его жизнь вне интернета была не менее хаотичной. Связи с бандами, наркоторговля, предательства. Он обманул своих хакерских партнеров. Когда полиция обыскала его квартиру в 2019 году, там нашли 400 BTC — примерно 4 миллиона долларов на тот момент. Он договорился вернуть 1 миллион, чтобы "закрыть дело", и каким-то образом оставил себе остальное. Он был несовершеннолетним, поэтому система позволила ему уйти с миллионами.

Когда ФБР наконец его поймало после взлома Twitter, у них были все данные — IP-логи, сообщения в Discord, данные SIM-карт. Он столкнулся с 30 уголовными обвинениями и потенциально 210 годами заключения. Но поскольку он был несовершеннолетним, он заключил сделку. Три года в ювенальной тюрьме, три года условно. Ему было 17, когда он взломал самый крупный мегафон мира. Ему было 20, когда его освободили.

Самое тревожное — это то, насколько это всё актуально и сегодня. Грэм Иван Кларк доказал то, что мошенники знают уже давно — вам не нужно взламывать систему, если вы можете обмануть тех, кто её управляет. Сегодня X заполнен точно такими же криптовалютными мошенничествами, которые сделали его богатым. Те же тактики социальной инженерии. Та же психологическая манипуляция.

Настоящий урок здесь не о технологиях. Он о том, насколько мы все уязвимы перед эмоциями. Страх, жадность, доверие — это настоящие уязвимости. Когда кто-то создает срочность, когда он апеллирует к вашему кошельку или вашему эго, когда звучит достаточно официально, большинство людей не задумываются. Грэм Иван Кларк не был гением-хакером. Он просто лучше понимал людей, чем они сами.