Vừa mới đọc xong về vụ việc cực kỳ điên rồ này và tôi phải chia sẻ vì nó vẫn làm tôi sốc. Một cậu bé 17 tuổi từ Florida cơ bản đã đi thẳng vào cửa chính của Twitter và trộm từ một số người quyền lực nhất hành tinh. Không phải bằng một lỗ hổng zero-day phức tạp hay gì đó — chỉ đơn giản là kỹ năng xã hội và sự liều lĩnh thuần túy.

Vậy chuyện đã diễn ra như thế nào. Graham Ivan Clark lớn lên trong nghèo khổ ở Tampa, gần như không có gì nổi bật. Nhưng thay vì bỏ cuộc, cậu bắt đầu hack từ sớm. Ban đầu nhỏ thôi — lừa đảo người chơi Minecraft, trộm đồ trong game, rồi chuyển sang hack các kênh YouTube. Đến 15 tuổi, cậu đã tham gia vào OGUsers, diễn đàn nổi tiếng nơi mọi người trao đổi tài khoản mạng xã hội bị đánh cắp. Không cần kỹ năng lập trình. Chỉ cần sự quyến rũ, áp lực, và biết cách thao túng người khác.

Sau đó cậu phát hiện ra cách đổi SIM. Đây là phần đáng sợ nhất. Cậu gọi điện cho các nhà mạng, thuyết phục họ rằng mình là chủ tài khoản, và boom — cậu có quyền truy cập vào email, ví crypto của người khác, mọi thứ. Một nhà đầu tư mạo hiểm tên Greg Bennett tỉnh dậy và phát hiện hơn một triệu Bitcoin đã biến mất. Những hacker thậm chí còn đe dọa gia đình ông để buộc ông phải trả thêm tiền.

Nhưng Graham muốn đi xa hơn nữa. Đến năm 2020, cậu đã sẵn sàng cho bước cuối cùng trước khi tròn 18 tuổi. Nhân viên Twitter trong thời gian lockdown COVID làm việc từ xa, và đó chính là cơ hội của cậu. Cậu cùng một thiếu niên khác giả làm nhân viên hỗ trợ IT, gửi các trang đăng nhập giả mạo cho nhân viên, và dùng kỹ năng xã hội để leo lên cấp cao nhất cho đến khi tìm được tài khoản có quyền truy cập chế độ Thượng đế. Đột nhiên hai đứa trẻ kiểm soát 130 trong số các tài khoản xác thực quyền lực nhất thế giới.

Vào ngày 15 tháng 7 năm 2020 lúc 8 giờ tối, chuyện đã xảy ra. Các tweet từ Elon Musk, Obama, Bezos, Apple — tất cả đều kêu gọi gửi Bitcoin và nhận gấp đôi. Hơn 110k USD BTC đổ vào ví của chúng trong vòng vài phút. Toàn bộ internet náo loạn. Nhưng điều quan trọng là — chúng có thể đã làm sập thị trường, rò rỉ tin nhắn riêng tư, phát tán cảnh báo chiến tranh giả mạo. Thay vào đó, chúng chỉ farm crypto. Đó là chiến tranh tâm lý thuần túy.

FBI bắt được cậu trong vòng hai tuần nhờ vào logs IP và tin nhắn Discord. Graham đối mặt với 30 cáo buộc hình sự và có thể bị tù tới 210 năm. Nhưng vì là người vị thành niên, cậu đã thương lượng giảm xuống còn 3 năm trong trại trẻ vị thành niên cộng với án treo. Khi đó cậu mới 17 tuổi và hack Twitter. Khi ra tù, cậu đã 20 tuổi. Vẫn giàu có. Vẫn không thể chạm tới.

Điều làm tôi sốc là sự mỉa mai bây giờ. Cậu ta chứng minh rằng bạn không cần phải phá hệ thống nếu có thể lừa những người vận hành nó. Kỹ năng xã hội vượt qua an ninh mọi lúc vì con người là điểm yếu nhất. Và nhìn vào X ngày nay, nó tràn ngập những trò lừa đảo crypto giống hệt đã làm giàu cho Graham. Tâm lý vẫn còn hiệu nghiệm.

Bài học thực sự ở đây không phải Graham là một hacker thiên tài. Đó là sợ hãi, tham lam và niềm tin vẫn là những thứ dễ khai thác nhất trên Trái đất. Đừng bao giờ tin vào sự khẩn cấp, đừng chia sẻ thông tin đăng nhập, đừng bao giờ nghĩ rằng các tài khoản xác thực thực sự là chính họ. Bởi Graham Ivan Clark đã cho chúng ta thấy rằng vụ hack lớn nhất không phải về kỹ thuật — mà là về con người.