Щойно закінчив читати про цю абсолютно дикі ситуацію, і я просто не можу не поділитися, бо це досі мене вражає. 17-річний хлопець з Флориди фактично зайшов у головний вхід Twitter і вкрав у деяких найвпливовіших людей на Землі. Не з допомогою складних нульових експлойтів чи чогось подібного — просто соціальна інженерія та чистий нахабство.

Ось як це сталося. Грем Іван Кларк виріс у Таміпі, майже без грошей і без особливих перспектив. Але замість здаватися, він рано зацікавився хакінгом. Починав з малого — обманював людей у Minecraft, крадав внутрішньоігрові предмети, потім перейшов до зломів каналів на YouTube. До 15 років він вже був глибоко в OGUsers, цьому відомому форумі, де люди обмінюються викраденими акаунтами соцмереж. Ніяких навичок програмування не потрібно. Лише шарм, тиск і знання, як маніпулювати людьми.

Потім він дізнався про SIM swapping. Тут стає страшно. Він телефонував мобільним компаніям, переконував їх, що він — власник акаунта, і — вуаля — отримував доступ до електронної пошти, крипто-гаманців, всього. Один венчурний капіталіст на ім’я Грег Беннетт прокинувся і виявив, що понад мільйон доларів у Bitcoin просто зникли. Хакери буквально погрожували його родині, щоб змусити його платити більше.

Але Грем хотів більшого. До 2020 року він був готовий до останнього ходу перед тим, як йому виповниться 18. Співробітники Twitter працювали з дому через карантин, і це була його можливість. Він і ще один підліток видавали себе за ІТ-підтримку, надсилали фальшиві сторінки входу співробітникам і соціально інженерили їх до тих пір, поки не знайшли акаунт із режимом Бога. Раптом двоє дітей контролювали 130 найвпливовіших підтверджених акаунтів у світі.

15 липня 2020 року о 20:00 сталося. Твіти від Ілона Маска, Обами, Безоса, Apple — всі закликали надсилати Bitcoin і отримати подвоєну суму. За кілька хвилин їхні гаманці поповнилися понад 110 тисячами BTC. Весь інтернет зірвався. Але ось у чому справа — вони могли б зруйнувати ринки, викласти приватні повідомлення, поширити фейкові повідомлення про війну. Замість цього вони просто займалися криптофінансами. Це була чиста психологічна війна.

ФБР затримало його за два тижні, використовуючи IP-логи та повідомлення у Discord. Грема звинуватили у 30 кримінальних статтях і потенційно дали до 210 років ув’язнення. Але оскільки він був неповнолітнім, він домовився про 3 роки у ювенальній виправній установі та умовний термін. Йому було 17, коли він зламав Twitter. Йому 20, коли він вийшов на свободу. Все ще багатий. Все ще недоторканий.

Що мене дивує — це іронія тепер. Він довів, що не потрібно ламати системи, якщо можна обдурити тих, хто їх керує. Соціальна інженерія перемагає безпеку кожного разу, бо людський фактор — найслабше місце. А дивлячись на X сьогодні, там повно тих самих крипто-афер, що зробили Грема багатим. Психологія все ще працює.

Настоящий урок тут у тому, що Грем не був якимось геніальним хакером. Це те, що страх, жадібність і довіра — все ще найлегше експлуатувати на Землі. Ніколи не довіряйте терміновості, ніколи не діліться обліковими даними, ніколи не припускайте, що підтверджені акаунти — це справжні особи. Бо Грем Іван Кларк показав нам, що найбільший злом — не технічний, а людський.