Bạn có từng tự hỏi làm thế nào một thiếu niên nghèo từ Florida suýt nữa đã làm sập toàn bộ internet không? Để tôi kể bạn nghe về Graham Ivan Clark — và tin tôi đi, câu chuyện này sẽ thay đổi cách bạn nghĩ về an ninh mãi mãi.

Nó không phải là một băng nhóm hacker Nga tinh nhuệ. Nó thậm chí còn không phải là mã phức tạp. Chỉ là một cậu bé với một chiếc laptop, một chiếc điện thoại, và loại sự táo bạo mà không thể hiểu nổi cho đến khi bạn nhận ra nó thực sự đã thành công. Vào ngày 15 tháng 7 năm 2020, Graham Ivan Clark và một đồng phạm đã làm điều gì đó vẫn còn cảm giác như không thể: họ đã kiểm soát Twitter.

Nhưng hãy quay lại. Ai là người này trước khi vụ hack?

Graham lớn lên ở Tampa trong một gia đình không hạnh phúc — nhà tan cửa nát, không có tiền, không có triển vọng thực sự. Trong khi những đứa trẻ cùng tuổi chỉ chơi game, cậu đã bắt đầu lừa đảo trong đó. Cậu làm quen với người khác, lấy đồ trong game của họ, lấy tiền, rồi biến mất. Khi họ cố gắng vạch trần cậu trực tuyến, cậu lại hack các kênh của họ. Đến 15 tuổi, cậu không còn chỉ đùa nữa. Cậu gia nhập OGUsers, một diễn đàn nơi các hacker trao đổi tài khoản mạng xã hội bị đánh cắp. Nhưng điều quan trọng là — cậu không cần phải viết mã. Cậu có thứ tốt hơn: cậu hiểu con người.

Lên 16 tuổi, Graham thành thạo kỹ thuật đổi SIM. Đó là nghệ thuật gọi điện cho các nhà mạng, thuyết phục nhân viên rằng cậu là chủ tài khoản, và khiến họ chuyển số điện thoại cho mình. Một khi kiểm soát được số điện thoại của ai đó, cậu kiểm soát email, ví crypto, tài khoản ngân hàng của họ — mọi thứ. Nạn nhân của cậu gồm các nhà đầu tư crypto giàu có đăng về số dư của họ trực tuyến. Một nhà đầu tư mạo hiểm thức dậy và phát hiện hơn 1 triệu BTC đã biến mất. Khi anh ta liên hệ với bọn trộm, phản hồi khiến người ta lạnh sống lưng: Thanh toán hoặc chúng tôi sẽ đến nhà bạn và gia đình.

Tiền bạc khiến Graham trở nên liều lĩnh. Cậu lừa đảo chính các đồng phạm hacker của mình. Họ đã tiết lộ danh tính cậu, xuất hiện tại nhà cậu. Cuộc sống offline của cậu bắt đầu rối loạn — buôn bán ma túy, liên hệ với băng đảng, bạo lực. Một người bạn bị bắn chết trong một vụ làm ăn thất bại. Graham tuyên bố vô tội và bằng cách nào đó vẫn đi ra ngoài. Đến năm 2019, cảnh sát đột kích căn hộ của cậu và phát hiện 400 BTC trị giá gần 4 triệu đô la. Cậu trả lại 1 triệu để kết thúc vụ án. Cậu mới 17 tuổi. Vì còn vị thành niên, cậu giữ phần còn lại hợp pháp.

Rồi đến bước cuối cùng.

Đến giữa năm 2020, Graham Ivan Clark có một mục tiêu trước sinh nhật thứ 18 của mình: hack chính Twitter. Công ty trong tình trạng hỗn loạn — phong tỏa COVID khiến nhân viên làm việc từ nhà, đăng nhập từ thiết bị cá nhân. Graham và một đồng phạm tuổi teen khác giả làm bộ phận hỗ trợ kỹ thuật nội bộ. Họ gọi cho nhân viên Twitter, nói rằng họ cần đặt lại thông tin đăng nhập, gửi các trang đăng nhập giả mạo của công ty. Hàng chục người bị lừa. Những đứa trẻ leo lên hệ thống nội bộ của Twitter cho đến khi họ tìm thấy thứ tuyệt vời: một tài khoản chế độ Thần Chúa có thể đặt lại mọi mật khẩu trên nền tảng.

Đột nhiên, hai thiếu niên kiểm soát 130 trong số các tài khoản quyền lực nhất thế giới.

Vào 8 giờ tối ngày 15 tháng 7, các tweet bắt đầu xuất hiện: Gửi BTC, nhận gấp đôi. Elon Musk, Obama, Bezos, Apple, Biden — tất cả đăng cùng một thông điệp. Internet đóng băng. Trong vòng vài phút, hơn 110.000 đô la Bitcoin chảy vào ví của họ. Twitter tắt tất cả các tài khoản xác thực toàn cầu — điều chưa từng xảy ra trước đây. Các hacker có thể đã làm sập thị trường, rò rỉ tin nhắn riêng, phát tán cảnh báo chiến tranh giả mạo. Thay vào đó, họ chỉ farm crypto. Đó là để chứng minh họ có thể kiểm soát chiếc loa lớn nhất của internet.

FBI bắt họ trong vòng hai tuần bằng cách sử dụng nhật ký IP và tin nhắn Discord. Graham Ivan Clark đối mặt với 30 cáo buộc hình sự — trộm danh tính, lừa đảo qua dây, truy cập máy tính trái phép. Án phạt tiềm năng: 210 năm tù. Nhưng cậu đã thương lượng. Vì còn vị thành niên, cậu chỉ thụ án 3 năm trong trại trẻ vị thành niên và 3 năm án treo. Cậu mới 17 tuổi khi hack thế giới. Cậu 20 tuổi khi ra tù. Giàu có. Không ai chạm tới.

Điều điên rồ là: X, nền tảng của Elon, hiện đang tràn ngập các trò lừa đảo crypto mỗi ngày. Những trò lừa đảo đã làm giàu cho Graham. Cách tâm lý đó vẫn còn hiệu quả trên hàng triệu người.

Vậy bài học thực sự là gì? Những kẻ lừa đảo như Graham Ivan Clark không hack hệ thống — họ hack con người. Họ khai thác cảm xúc. Sợ hãi, tham lam, tin tưởng. Đừng bao giờ tin vào sự khẩn cấp. Các doanh nghiệp thực sự không cần thanh toán ngay lập tức. Đừng bao giờ chia sẻ mã hoặc thông tin đăng nhập. Đừng tin vào các tài khoản xác thực — chúng là những đối tượng dễ bị bắt chước nhất. Luôn kiểm tra URL kỹ trước khi đăng nhập.

Sự thật tàn nhẫn mà Graham chứng minh: bạn không cần phải phá vỡ hệ thống nếu bạn có thể lừa đảo những người điều hành nó. Kỹ thuật xã hội không phải là về mã code. Nó là về tâm lý học. Và đó mới là thứ nguy hiểm hơn nhiều.