Я щойно знову прочитав про Грема Івана Кларка, і чесно кажучи, це одна з тих історій, яка стає ще більш безглуздою з кожним повторним переглядом. Не тому, що деталі змінюються, а тому, що ти усвідомлюєш, наскільки вічною є ця вразливість.

Отже, ось у чому справа — у липні 2020 року, коли більшість із нас сиділи вдома через COVID, 17-річний хлопець із Тампи фактично зайшов у системи Twitter, ніби він володіє цим місцем. Не з якимось складним нульовим днем експлойтом. Не з елітними російськими хакерами. Просто... соціальною інженерією. Він дзвонив співробітникам Twitter, прикидався технічною підтримкою, надсилав їм фальшиві сторінки входу, і бах — раптом у нього був доступ до 130 найвпливовіших акаунтів у світі.

Ілон, Обама, Безос, Apple — всі публікували одне й те саме повідомлення у реальному часі. «Надішліть мені Біткоїн, отримайте подвоєну суму». Інтернет колективно втратив розум. Більше ніж 110 000 доларів у BTC просто перетікали у гаманці за кілька хвилин. Це не була якась складна схема. Це було майже смішно просто.

Що мене дивує, так це те, що Грем Іван Кларк не потрібно було бути елітним хакером. Він просто краще розумів людей, ніж ті, хто захищав систему. Ось справжній хак. Він знав, що під тиском втомлені віддалені працівники натиснуть на посилання. Він знав, що авторитет і терміновість перемагають скептицизм. Він знав, що людська природа — найслабше місце будь-якої системи безпеки.

ФБР затримало його за два тижні. 30 кримінальних звинувачень. Могли засудити до 210 років. Але через те, що він був неповнолітнім, він відбув три роки у ювенальній в'язниці і вийшов у 20 років. Вийшов на свободу з грошима, досвідом і майстер-класом з маніпуляції системами.

А тепер — тут стає темно-смішно — швидко переходимо до сьогодні. X буквально переповнений крипто-шахрайствами. Ті самі тактики, що зробили Грема багатим, працюють на автопілоті по всій платформі. Фейкові розіграші, підроблені акаунти, термінові пропозиції. Та сама психологія. Інші гравці.

Урок тут не про Грема Івана Кларка конкретно. Це про те, що шахраї насправді не зламують код — вони зламують людей. І ця вразливість? Вона ніколи не виправляється. Можна оновлювати програмне забезпечення безпеки, але людську природу — ні.

Якщо ти в крипті, це варто обдумати. Ніколи не довіряй терміновості. Ніколи не діліться кодами або даними з кимось, хто претендує на підтримку. Не вважайте, що перевірені акаунти справжні — їх насправді легше всього підробити. І завжди, завжди двічі перевіряйте URL перед входом.

Реальна вразливість безпеки — не в системі. Вона сидить перед екраном, намагаючись робити кілька справ одночасно, втомлена, і всього один клік від руйнування. Будьте уважні.