Bạn có bao giờ để ý rằng những vi phạm an ninh lớn nhất không phải lúc nào cũng liên quan đến mã phức tạp? Tôi đang đọc về một trường hợp chứng minh điều đó hoàn hảo — và thành thật mà nói, thật điên rồ.

Vì vậy, vào tháng 7 năm 2020, Twitter bị xâm phạm hoàn toàn. Nhưng không phải bởi một nhóm hacker Nga tinh nhuệ hoặc nhóm APT phức tạp. Đó là một thiếu niên. Một thiếu niên 17 tuổi từ Tampa, Florida tên là Graham Ivan Clark, với hầu như không gì ngoài một chiếc laptop, một chiếc điện thoại, và sự liều lĩnh đến mức khiến Thung lũng Silicon phải toát mồ hôi.

Dưới đây là những gì đã xảy ra: Vào ngày 15 tháng 7, các tài khoản xác thực bắt đầu đăng các tin nhắn giống hệt nhau. Elon Musk, Obama, Bezos, Apple, Biden — tất cả đều nói cùng một điều. Gửi Bitcoin, nhận gấp đôi. Trông thật lố bịch, đúng không? Như một trò lừa đảo rõ ràng. Nhưng mọi người thực sự đã tin vào đó. Trong vòng vài phút, hơn 110.000 đô la Bitcoin đã đổ vào các ví. Twitter phải đóng tất cả các tài khoản xác thực trên toàn cầu — điều mà trước đó chưa từng xảy ra.

Phần điên rồ nhất? Graham Ivan Clark không cần phải là một lập trình viên bậc thầy. Anh ta không phá vỡ mã hóa hay khai thác lỗ hổng zero-day. Anh ta chỉ gọi điện cho nhân viên Twitter, giả vờ là bộ phận hỗ trợ kỹ thuật, và khiến họ đặt lại thông tin đăng nhập. Trong thời gian phong tỏa COVID, mọi người đều làm việc từ nhà, đăng nhập từ thiết bị cá nhân. Chiến thuật xã hội này gần như quá đơn giản đến mức ngượng ngùng. Anh ta và một đồng phạm leo lên cấp quản lý nội bộ cho đến khi tìm thấy một tài khoản "Chế độ Thần" cho phép họ kiểm soát 130 trong số các tài khoản quyền lực nhất trên nền tảng.

Trước vụ hack đó, Graham đã làm lừa đảo trong nhiều năm. Bắt đầu với các tài khoản Minecraft, rồi chuyển sang SIM swapping — thuyết phục các công ty điện thoại cấp quyền kiểm soát số điện thoại của người khác. Đó là cách anh ta truy cập vào ví crypto và email của người khác. Một nhà đầu tư mạo hiểm tên Greg Bennett thức dậy và phát hiện hơn 1 triệu đô la Bitcoin đã biến mất. Khi các nạn nhân cố gắng thương lượng, họ nhận được lời đe dọa về việc tấn công gia đình họ.

Cuộc sống ngoài đời của anh ta cũng hỗn loạn không kém. Liên kết với băng đảng, buôn bán ma túy, phản bội. Anh ta lừa đảo chính các đồng phạm hacker của mình. Khi cảnh sát đột kích căn hộ của anh ta vào năm 2019, họ tìm thấy 400 BTC — khoảng 4 triệu đô la vào thời điểm đó. Anh ta đàm phán trả lại 1 triệu đô la để "kết thúc vụ án" và giữ phần còn lại. Anh ta còn là một thiếu niên, nên hệ thống cho phép anh ta đi khỏi với hàng triệu đô la.

Khi FBI cuối cùng bắt được anh ta sau vụ hack Twitter, họ có tất cả — nhật ký IP, tin nhắn Discord, dữ liệu SIM. Anh ta đối mặt với 30 cáo buộc hình sự và có thể bị tù tới 210 năm. Nhưng vì là vị thành niên, anh ta đã thỏa thuận. Ba năm trong trại trẻ vị thành niên, ba năm án treo. Khi đó, anh ta mới 17 tuổi khi hack thành công chiếc loa phóng thanh lớn nhất thế giới. Khi ra tù, anh ta 20 tuổi.

Điều thực sự đáng lo là cách mà điều này vẫn còn liên quan. Graham Ivan Clark đã chứng minh điều mà các kẻ lừa đảo đã biết từ lâu — bạn không cần phải phá vỡ hệ thống nếu có thể lừa gạt những người điều hành nó. Ngày nay, X tràn ngập những trò lừa đảo crypto giống hệt đã làm anh ta giàu có. Những chiến thuật xã hội tương tự. Những thủ đoạn tâm lý giống hệt.

Bài học thực sự ở đây không phải về công nghệ. Đó là về cách tất cả chúng ta đều dễ bị tổn thương bởi cảm xúc. Sợ hãi, tham lam, tin tưởng — đó mới là những điểm yếu thực sự. Khi ai đó tạo ra sự cấp bách, khi họ khơi gợi sự chú ý đến ví tiền hoặc cái tôi của bạn, khi họ đủ chính thức, hầu hết mọi người đều không nghĩ nhiều. Graham Ivan Clark không cần phải là hacker thiên tài. Anh ta chỉ hiểu rõ con người hơn chính họ.