Є така історія, яка кожного разу мене вражає, коли я про неї думаю. 17-річний хлопець із Тампи. Ніякого хакерського синдикату. Ніякої елітної російської групи. Просто бідний підліток із телефоном, ноутбуком і нахабством здійснити один із найбезглуздіших соціальних інженерних хаків, коли-небудь зафіксованих. Це справжня історія Грема Івана Кларка — і як він фактично зламав людську природу саму по собі.

15 липня 2020 року. Я пам’ятаю, як це розгорталося у реальному часі. Облікові записи Елона Маска. Обама. Безос. Apple. Навіть Байден. Всі публікували одне й те саме: Надішліть мені $1,000 у Bitcoin, і я надішлю вам $2,000 назад. Спочатку всі думали, що це якась складна жартівлива витівка. Але ні. Твіти були в прямому ефірі. Twitter був повністю зламаний. Хтось мав доступ у режимі бога до найвпливовіших голосів платформи.

За кілька хвилин на гаманці з’явилося понад $110,000 у Bitcoin, контрольованих зловмисником. За кілька годин Twitter заблокував усі підтверджені облікові записи по всьому світу — щось, чого раніше ніколи не траплялося. А mastermind за цим? Не якийсь тіньовий фігур у підвалі. Просто Грем Іван Кларк. Підліток.

Тут стає ще темніше. Грем не виріс у технічному центрі. Тампа, Флорида. Неповна сім’я. Немає грошей. В той час, коли інші діти просто грали у ігри, він уже займався шахрайством у Minecraft — знайомився з людьми, продавав їм підроблені предмети, брав їхні гроші, зникав. Коли YouTubers намагалися його викрити, він зламав їхні канали у помсту. Тоді я зрозумів, що для нього це було не просто про гроші. Це було про контроль. Обман став його рідною мовою.

У 15 років він уже був глибоко в OGUsers — цьому відомому форумі хакерів, де люди обмінюються викраденими акаунтами соцмереж. Але ось у чому справа: Грем Іван Кларк не був потрібен як кодовий чарівник. Він був соціальним інженером. Чистої психології. Він використовував чарівність, тиск, маніпуляції — що працювало.

Потім він відкрив для себе SIM swapping. У 16 років він оволодів цим майстерно. В основному, він переконував працівників телефонних компаній передати контроль над номерами телефонів людей йому. Один трюк. І все. Це давало йому доступ до електронної пошти, криптогаманців, банківських рахунків — усього. Він уже не крадав імена користувачів. Він крадав життя.

Один із жертв був венчурним капіталістом на ім’я Грег Беннетт. Вранці він прокинувся і виявив, що понад $1 мільйонів у Bitcoin зникли. Коли він намагався зв’язатися з нападниками, вони надіслали йому повідомлення: Заплатіть або ми прийдемо за вашою родиною. Це рівень безжальності, про який йдеться.

Але гроші зробили Грема Івана Кларка безрозсудним. Він почав шахраювати навіть своїх хакерських партнерів. Вони його розкрили. З’явилися біля його дому. Його офлайн-життя почало руйнуватися — наркотики, зв’язки з бандами, хаос. Одна угода пішла не так. Його друга застрелили. Він заперечував провину і якось знову вийшов на свободу.

2019 року поліція обшукала його квартиру. Вони знайшли 400 Bitcoin — майже $4 мільйонів. Він домовився. Повернув $1 мільйонів, щоб «закрити справу». Йому було 17. Оскільки він був неповнолітнім, він зберіг решту. Законно. Він уже переміг систему. Але це було не кінець.

До 2020 року Грем Іван Кларк мав ще одну останню ціль перед тим, як стати повнолітнім: зламати сам Twitter. Обмеження COVID означали, що працівники Twitter працювали з дому. Віддалений доступ. Особисті пристрої. Він і ще один підліток-співучасник видавали себе за внутрішню технічну підтримку. Телефонували працівникам, казали, що потрібно скинути логін і пароль, надсилали фальшиві корпоративні сторінки входу. Дюжина з них повірили.

Крок за кроком вони піднімалися по внутрішній ієрархії Twitter, доки не знайшли — обліковий запис «God mode». Один панель, що могла скинути будь-який пароль на всій платформі. Два підлітки раптом контролювали 130 найвпливовіших акаунтів у світі.

О 8 вечора 15 липня з’явилися твіти. Інтернет мовчав. Підтверджені акаунти заблоковані. Зірки у паніці. Хакери могли б зруйнувати ринки, викласти приватні повідомлення, поширити фейкові повідомлення про війну, вкрасти мільярди. Замість цього вони просто заробляли Bitcoin. Це вже не було про гроші. Це було про те, щоб довести, що вони можуть контролювати найбільший мегафон інтернету.

FBI відстежував його протягом двох тижнів. Логи IP. Повідомлення у Discord. Дані SIM. Грем Іван Кларк зіткнувся з 30 кримінальними звинуваченнями — крадіжка особистих даних, шахрайство з переказами, несанкціонований доступ до комп’ютерів. До 210 років ув’язнення. Але він уклав угоду. Як неповнолітній, він відбув 3 роки у ювенальній виправній установі і 3 роки під наглядом. Зламав світ у 17 років. Вийшов на свободу у 20.

Зараз він на волі. Свободний. Багатий. І ось іронія, яка не дає мені спати ночами: Twitter тепер X, наповнений крипто-шахрайствами щодня. Ті самі шахрайства, що зробили Грема багатим. Ті самі трюки, що обдурили світ. Ті самі психологічні вразливості, що досі працюють на мільйонах людей.

Настин урок тут? Шахраї на кшталт Грема Івана Кларка не зламують системи — вони зламують людей. Вони експлуатують емоції. Страх. Жадібність. Довіру. Це ті вразливості, що справді мають значення. Ніколи не довіряйте терміновості. Ніколи не діліться обліковими даними. Не вірте, що підтверджені акаунти безпечні. Завжди перевіряйте URL перед входом. Соціальна інженерія — це не технічна справа, а психологічна.