Tôi đã đào sâu vào một trong những câu chuyện hack dữ dội nhất trong lịch sử internet, và thành thật mà nói, nó không giống những gì bạn mong đợi. Đây không phải là một cuộc tấn công mạng tinh vi do hacker cấp nhà nước tổ chức. Đó là một thiếu niên. Một cậu bé từ Florida đã thành công trong việc xâm nhập vào một số tiếng nói quyền lực nhất trên internet và bỏ túi hơn 110.000 đô la Bitcoin. Người đứng sau chuyện này? Graham Ivan Clark.

Hãy để tôi quay lại ngày 15 tháng 7 năm 2020. Ngày đó, một điều không thể xảy ra đã xảy ra trên Twitter. Elon Musk, Barack Obama, Jeff Bezos, Apple, Joe Biden — tất cả các tài khoản đã xác minh đều đăng cùng một thông điệp: "Gửi tôi 1.000 đô la bằng BTC và tôi sẽ gửi lại bạn 2.000 đô la." Nghe như một trò đùa. Nhưng thực sự. Trong vòng vài phút, sáu chữ số Bitcoin đã vào ví của hacker. Twitter đã hoàn toàn bị phong tỏa, vô hiệu hóa tất cả các tài khoản đã xác minh trên toàn cầu lần đầu tiên trong lịch sử. Và thủ phạm? Chỉ là một thiếu niên 17 tuổi với điện thoại rác và một sự tự tin gần như không thể tin nổi.

Nhưng đây mới là phần thú vị. Graham Ivan Clark không bắt đầu như một hacker tinh nhuệ. Cậu lớn lên ở Tampa, Florida — gia đình tan vỡ, không có tiền, không có triển vọng thực sự. Trong khi những đứa trẻ khác chơi game, cậu lại chạy các trò lừa đảo trong các trò chơi. Cậu làm quen với người khác, bán cho họ các vật phẩm ảo, lấy tiền rồi biến mất. Khi các nhà sáng tạo cố gắng vạch trần cậu, cậu đã hack các kênh của họ. Đến 15 tuổi, cậu đã gia nhập OGUsers, một diễn đàn ngầm nổi tiếng nơi các hacker trao đổi các tài khoản bị đánh cắp. Cậu không cần kỹ năng lập trình. Cậu có thứ mạnh hơn: cậu hiểu con người.

Điểm ngoặt thực sự đến khi Graham Ivan Clark làm chủ kỹ thuật đổi SIM. Kỹ thuật này khá đơn giản — cậu gọi điện cho nhân viên công ty điện thoại, thuyết phục họ rằng cậu là chủ tài khoản, rồi chiếm quyền kiểm soát số điện thoại của người khác. Một khi đã có, mọi thứ khác theo sau: truy cập email, ví crypto, tài khoản ngân hàng. Nạn nhân của cậu gồm các nhà đầu tư crypto giàu có từng khoe khoang về số tiền họ nắm giữ trên mạng. Một nhà đầu tư mạo hiểm thức dậy và phát hiện hơn 1 triệu đô la Bitcoin đã biến mất. Khi cố thương lượng với bọn trộm, phản hồi của chúng khiến người ta lạnh sống lưng: "Trả tiền hoặc chúng tôi sẽ đến nhà bạn và gia đình."

Số tiền đó khiến cậu ta trở nên liều lĩnh hơn. Cậu bắt đầu lừa đảo chính các đồng phạm hacker của mình. Họ trả đũa, tiết lộ danh tính, xuất hiện tại nhà cậu. Cuộc sống ngoài đời của cậu dần trở nên tối tăm hơn — buôn bán ma túy, liên hệ với các băng đảng, bạo lực. Một người bạn bị bắn chết trong một vụ làm ăn thất bại. Graham Ivan Clark tuyên bố vô tội và bằng cách nào đó vẫn đi lại tự do. Năm 2019, cảnh sát đột kích căn hộ của cậu và phát hiện 400 Bitcoin trị giá gần 4 triệu đô la vào thời điểm đó. Cậu đàm phán trả lại 1 triệu đô để kết thúc vụ án. Vì còn là thiếu niên, cậu giữ phần còn lại theo luật. Cậu đã qua mặt hệ thống một lần. Nhưng chưa xong.

Đến giữa năm 2020, trước khi tròn 18 tuổi, cậu nhắm vào mục tiêu cuối cùng: chính Twitter. Đại dịch khiến nhân viên Twitter làm việc từ xa, đăng nhập từ thiết bị cá nhân. Graham và một đồng phạm tuổi teen khác giả dạng nhân viên kỹ thuật nội bộ. Họ gọi điện cho nhân viên, nói rằng cần đặt lại thông tin đăng nhập, gửi các trang đăng nhập giả mạo của công ty. Hàng chục người đã mắc bẫy. Từng bước, họ leo thang qua các hệ thống nội bộ của Twitter cho đến khi tìm thấy thứ họ cần — một tài khoản "Chế độ Thượng đỉnh" có thể đặt lại mọi mật khẩu trên nền tảng. Hai đứa trẻ giờ kiểm soát 130 trong số các tài khoản có ảnh hưởng nhất thế giới.

Vào 8 giờ tối ngày 15 tháng 7, các tweet bắt đầu xuất hiện. Mạng internet rối loạn. Dấu tích xác thực bị khóa chặt. Các sao Hollywood hoảng loạn. Các hacker có thể đã làm sập thị trường, rò rỉ tin nhắn riêng, phát tán cảnh báo sai về chiến tranh, trộm hàng tỷ đô la. Thay vào đó, họ chỉ thu hoạch Bitcoin. Thật ra, chuyện tiền bạc không còn quan trọng nữa. Đó là về việc chứng minh họ có thể kiểm soát chiếc loa phóng thanh lớn nhất thế giới.

FBI đã bắt kịp trong vòng hai tuần. Các bản ghi IP, tin nhắn Discord, hồ sơ SIM — dấu vết rõ ràng. Graham Ivan Clark đối mặt với 30 cáo buộc hình sự: trộm danh tính, lừa đảo qua dây, truy cập trái phép vào máy tính. Hình phạt tiềm năng: 210 năm tù. Nhưng cậu đã đàm phán. Vì còn là thiếu niên, cậu chỉ thụ án ba năm trong trại trẻ vị thành niên cộng với ba năm án treo. Cậu hack internet khi mới 17 tuổi và đi ra tự do khi 20.

Bây giờ điều khiến tôi ám ảnh về câu chuyện này là. Graham Ivan Clark vẫn còn đó ngày hôm nay. Tự do. Giàu có. Sống trong nhận thức rằng cậu đã thực hiện được điều mà hầu hết mọi người nghĩ là không thể. Và trong khi đó, nền tảng mà cậu hack — nay gọi là X — đang tràn ngập các trò lừa đảo crypto giống như đã làm cậu giàu có. Những trò lừa đảo xã hội tương tự. Cách tâm lý học đó vẫn còn hiệu quả trên hàng triệu người.

Bài học không thực sự về an ninh kỹ thuật. Nó còn tối hơn thế. Những kẻ lừa đảo không phá vỡ hệ thống — họ phá vỡ con người. Graham Ivan Clark chứng minh rằng bạn không cần kỹ năng hack tinh vi nếu bạn hiểu bản chất con người. Sợ hãi, tham lam, và niềm tin vẫn là những lỗ hổng dễ khai thác nhất chúng ta có. Cậu ấy đã cho thế giới thấy rằng đôi khi hacker nguy hiểm nhất chỉ là người biết cách nói chuyện với người khác.