Ти коли-небудь замислювався, як бідний підліток з Флориди майже зламав весь інтернет? Дозволь розповісти тобі про Грема Івана Кларка — і повір, ця історія назавжди змінить твоє уявлення про безпеку.

Це не була якась елітна російська хакерська група. Це навіть не був складний код. Це був один хлопець із ноутбуком, телефоном і такою нахабністю, що вона здається безглуздою, поки не зрозумієш, що це дійсно спрацювало. 15 липня 2020 року Грем Іван Кларк і його спільник зробили щось, що досі здається неможливим: вони взяли під контроль Twitter.

Але давай повернемося назад. Хто цей хлопець до хакеру?

Грем виріс у Тампі без нічого — розірваний дім, без грошей, без реальних перспектив. У той час як його однолітки просто гралися, він уже займався шахрайством у іграх. Він заводив дружбу, брав їхні внутрішньоігрові предмети, заробляв гроші і зникав. Коли вони намагалися викрити його онлайн, він зламували їхні канали. До 15 років він уже не просто грався — він приєднався до OGUsers, форуму, де хакери обмінювалися викраденими акаунтами соцмереж. Але ось у чому справа — йому не потрібно було писати код. У нього було щось краще: він розумів людей.

У 16 років Грем освоїв SIM-заміну. Це мистецтво дзвонити мобільним компаніям, переконувати співробітників, що він — власник акаунта, і змушувати їх перенести номер телефону на нього. Як тільки ти контролюєш чиєсь номер, ти контролюєш їхню пошту, криптогаманці, банківські рахунки — все. Його жертвами були багаті інвестори у криптовалюту, які публікували про свої активи онлайн. Один венчурний капіталіст прокинувся і побачив, що з його рахунків зникло понад 1 мільйон BTC. Коли він звернувся до злодіїв, відповідь була моторошною: Заплатиш або прийдемо за твоєю родиною.

Гроші зробили Грема безрозсудним. Він обманював своїх власних хакерських партнерів. Вони його викрили, з’явилися у його домі. Його офлайн-життя почало руйнуватися — наркотики, зв’язки з бандами, насильство. Один друг був застрелений під час невдалого угоди. Грем заперечував і якось залишився на свободі. До 2019 року поліція обшукала його квартиру і знайшла 400 BTC на суму майже 4 мільйони доларів. Він повернув 1 мільйон, щоб закрити справу. Йому було 17. Оскільки він був неповнолітнім, він законно зберігав решту.

Але настає останній хід.

До середини 2020 року Грем Іван Кларк мав одну мету — зламати Twitter до свого 18-го дня народження. Компанія була у хаосі — локдауни через COVID означали, що співробітники працювали з дому, входили з особистих пристроїв. Грем і ще один підліток-спільник видавали себе за внутрішню технічну підтримку. Вони дзвонили співробітникам Twitter, казали, що потрібно скинути логін і пароль, і надсилали фальшиві корпоративні сторінки входу. Дюжина людей повірили. Хлопці піднялися по внутрішній ієрархії Twitter, доки не знайшли щось прекрасне: акаунт у режимі Бога, що міг скинути будь-який пароль на платформі.

Раптом два підлітки контролювали 130 найвпливовіших акаунтів у світі.

О 8 вечора 15 липня з’явилися твіти: Надішліть BTC, отримайте подвоєне. Ілон Маск, Обама, Безос, Apple, Байден — всі публікували одне й те саме повідомлення. Інтернет завис. За кілька хвилин на їхні гаманці надійшло понад 110 000 доларів у Bitcoin. Twitter закрив усі підтверджені акаунти по всьому світу — такого раніше не було. Злочинці могли б зруйнувати ринки, викласти приватні повідомлення, поширити фальшиві повідомлення про війну. Але вони просто заробляли крипту. Це був доказ того, що вони можуть контролювати найпотужніший голос у мережі.

ФБР затримало їх за два тижні, використовуючи IP-логи і повідомлення у Discord. Грем Іван Кларк зіткнувся з 30 кримінальними звинуваченнями — крадіжка особистих даних, шахрайство з переказами, несанкціонований доступ до комп’ютерів. Потенційний вирок: 210 років. Але він домовився. Оскільки він був неповнолітнім, він відбув 3 роки у ювенальній в’язниці і 3 роки під наглядом. Йому було 17, коли він зламав світ. Йому було 20, коли він вийшов на свободу. Багатий. Неприкосновенний.

Ось що дивно: платформа X, колишня платформа Ілона, тепер щодня наповнюється криптозломами. Тими самими шахрайствами, що зробили Грема багатим. Та сама психологія досі працює на мільйонах.

Отже, яка справжня наука? Шахраї на кшталт Грема Івана Кларка не зламують системи — вони зламують людей. Вони використовують емоції. Страх, жадібність, довіру. Ніколи не довіряйте терміновості. Реальні бізнеси не потребують миттєвих платежів. Ніколи не діліться кодами або даними входу. Не вірте підтвердженим акаунтам — їх найпростіше підробити. Завжди двічі перевіряйте URL перед входом.

Груба правда, яку довів Грем: вам не потрібно зламувати систему, якщо ви можете обдурити тих, хто її керує. Соціальна інженерія — це не про код. Це про психологію. І це набагато небезпечніше.