Bạn có từng tự hỏi làm thế nào một đứa trẻ với một chiếc laptop gần như đã làm sập internet không? Tôi vừa xem lại câu chuyện của Graham Ivan Clark, và thành thật mà nói, mỗi lần nghĩ về nó, câu chuyện còn điên rồ hơn. Đây không phải là một cuộc tấn công mạng tinh vi. Đây là một thiếu niên nghèo từ Tampa hiểu rõ một điều hơn ai hết — con người là mắt xích yếu nhất trong bất kỳ hệ thống nào.

Ngày 15 tháng 7 năm 2020. Ngày đó nên được khắc sâu vào trí nhớ của mọi người yêu thích crypto. Tôi đã xem Twitter bùng nổ trong thời gian thực khi chuyện xảy ra. Elon Musk, Obama, Bezos, Apple — tất cả các tài khoản xác thực đều đăng cùng một thông điệp yêu cầu mọi người gửi Bitcoin. Ban đầu, ai cũng nghĩ đó chỉ là một trò đùa. Rồi Bitcoin bắt đầu chảy vào. Hơn 110.000 đô la giá trị. Và Twitter đã bị phong tỏa hoàn toàn, vô hiệu hóa tất cả các tài khoản xác thực trên toàn cầu lần đầu tiên trong lịch sử.

Phần điên rồ nhất? Người đứng sau tất cả chỉ mới 17 tuổi.

Graham Ivan Clark không lớn lên trong một giới hacker tinh nhuệ. Cậu lớn lên trong một gia đình tan vỡ, không có gì. Trong khi những đứa trẻ khác chơi game, cậu lại chạy các trò lừa đảo trong đó. Cậu làm bạn với người khác, lấy tiền của họ, rồi biến mất. Khi bị phát hiện, cậu hack những người tiết lộ. Đứa trẻ này chỉ mê một thứ — kiểm soát. Và cậu đã sớm nhận ra rằng bạn không cần phải là một thiên tài lập trình để kiểm soát mọi thứ.

Đến 15 tuổi, cậu đã tìm thấy OGUsers — một diễn đàn nơi mọi người trao đổi các tài khoản mạng xã hội bị đánh cắp. Nhưng điều làm Graham khác biệt là gì? Cậu không cần viết các lỗ hổng khai thác. Cậu dùng tâm lý học. Sự quyến rũ. Áp lực. Những thứ thực sự có hiệu quả trên con người. Ở 16 tuổi, cậu thành thạo việc đổi SIM. Đó là trò chơi thuyết phục nhân viên công ty điện thoại giao số của người khác cho mình. Một khi đã sở hữu số điện thoại của họ, cậu cũng sở hữu email, ví crypto, toàn bộ cuộc sống kỹ thuật số của họ.

Tôi đọc về một nạn nhân — một nhà đầu tư mạo hiểm thức dậy và phát hiện hơn 1 triệu đô la Bitcoin đã biến mất. Khi cố gắng thương lượng với hacker, họ trả lời một cách rợn người: "Thanh toán hoặc chúng tôi sẽ đến nhà bạn và gia đình." Đó không phải là hack. Đó là chiến tranh tâm lý.

Số tiền đó khiến Graham trở nên liều lĩnh hơn. Cậu bắt đầu lừa đảo chính các đối tác của mình. Họ đến nhà cậu. Cuộc sống offline của cậu rối loạn — ma túy, liên kết băng đảng, hỗn loạn. Một người bạn bị bắn. Graham bỏ chạy. Tuyên bố vô tội. Dù sao cũng thoát được. Khi cảnh sát đột kích nơi ở của cậu năm 2019, họ tìm thấy 400 Bitcoin — gần 4 triệu đô la vào thời điểm đó. Cậu đàm phán giảm xuống còn trả lại 1 triệu đô la. Vì còn là thiếu niên, cậu hợp pháp giữ phần còn lại. Cậu đã qua mặt hệ thống một lần. Cậu khao khát điều gì đó lớn hơn.

Rồi đến năm 2020. Trong thời gian phong tỏa COVID, nhân viên Twitter làm việc từ nhà. Graham Ivan Clark và một đứa trẻ khác nhận ra điều gì — cậu có thể gọi điện và giả làm nhân viên kỹ thuật hỗ trợ. Họ gửi các trang đăng nhập giả mạo. Hàng chục nhân viên đã mắc bẫy. Từng bước, những thiếu niên này leo lên cấu trúc nội bộ của Twitter cho đến khi họ tìm ra tài khoản gọi là "Chế độ Thần" (God mode). Một bảng điều khiển. Chỉ cần vậy thôi. Nó cho phép họ đặt lại mật khẩu của 130 trong số những tài khoản quyền lực nhất trên nền tảng.

Vào 8 giờ tối ngày 15 tháng 7, các tweet đã phát sóng trực tiếp. Internet đóng băng. Mọi người hoảng loạn. Và điều khiến tôi sốc là — những đứa trẻ này có thể đã làm sập thị trường. Có thể đã rò rỉ tin nhắn riêng của các nhà lãnh đạo thế giới. Có thể đã gây ra hỗn loạn toàn cầu. Thay vào đó, chúng chỉ chạy một trò lừa Bitcoin. Bởi vì nó không còn về tiền nữa. Nó về việc chứng minh chúng có thể kiểm soát chiếc loa lớn nhất thế giới.

FBI bắt Graham Ivan Clark trong vòng hai tuần. Nhật ký IP, tin nhắn Discord, dữ liệu SIM — họ có tất cả. Cậu đối mặt với 30 cáo buộc hình sự. Tối đa 210 năm tù. Nhưng vì còn là thiếu niên, cậu đã thỏa thuận. Ba năm trong trại trẻ vị thành niên. Ba năm án treo. Cậu mới 17 tuổi khi hack Twitter. Cậu 20 tuổi khi ra tù.

Hôm nay, cậu vẫn tự do. Giàu có. Và đây là điều cay đắng — nền tảng mà cậu đã hack giờ đây tràn ngập những trò lừa tương tự đã làm cậu giàu có. Những thủ thuật kỹ thuật xã hội giống hệt. Tâm lý học giống hệt đã hoạt động trên hàng triệu người mỗi ngày.

Điều tôi học được từ việc nghiên cứu Graham Ivan Clark là: những kẻ lừa đảo thực sự không hack hệ thống. Họ hack con người. Họ khai thác các cảm xúc cơ bản của con người — sợ hãi, tham lam, tin tưởng. Nếu bạn muốn tự bảo vệ mình, hãy nhớ: các doanh nghiệp thực sự không bao giờ yêu cầu thanh toán gấp. Đừng chia sẻ mã xác thực. Đừng tin vào các tài khoản xác thực màu xanh. Luôn xác minh URL trước khi đăng nhập. Bởi vì điểm yếu thực sự của bất kỳ hệ thống nào không phải là mã nguồn. Mà là người đọc tin nhắn đó. Graham Ivan Clark đã chứng minh rằng bạn không cần phải phá vỡ hệ thống nếu có thể lừa người vận hành nó. Và bài học đó ngày nay còn phù hợp hơn bao giờ hết.