Только что закончил читать об этом абсолютно безумном случае, и не мог не поделиться, потому что он до сих пор потрясает меня. 17-летний парень из Флориды фактически зашел в главный вход Twitter и украл у некоторых из самых влиятельных людей на Земле. Не с помощью какого-то сложного zero-day эксплойта или чего-то подобного — просто социальная инженерия и чистая наглость.

Итак, как это произошло. Грэм Иван Кларк вырос в Тэмпе, нищим, практически без ничего. Но вместо того чтобы сдаться, он рано увлекся взломами. Начинал с малого — обманывал людей в Minecraft, крал внутриигровые предметы, затем перешел к взлому каналов на YouTube. К 15 годам он уже был глубоко вовлечен в OGUsers, известный форум, где люди торгуют украденными аккаунтами соцсетей. Не нужны были навыки программирования. Просто обаяние, давление и умение манипулировать людьми.

Затем он понял, что такое SIM swapping. И тут становится страшно. Он звонил операторам мобильных, убеждал их, что он — владелец аккаунта, и вуаля — у него был доступ к электронной почте, крипто-кошелькам и всему остальному. Один венчурный капиталист по имени Грег Беннетт проснулся и обнаружил, что у него пропало более миллиона долларов в Bitcoin. Хакеры буквально угрожали его семье, чтобы заставить его заплатить больше.

Но Грэм хотел идти дальше. К 2020 году он был готов к своему финальному шагу перед тем, как ему исполнилось 18. В то время сотрудники Twitter работали из дома из-за карантина COVID, и это была его возможность. Он и еще один подросток притворились техподдержкой, отправляли фальшивые страницы входа сотрудникам и социальным манипуляциям поднялись по цепочке, пока не нашли аккаунт с доступом в режим Бога. Вдруг двое детей контролировали 130 самых влиятельных проверенных аккаунтов в мире.

15 июля 2020 года в 20:00 произошло это. Твиты от Илона Маска, Обамы, Безоса, Apple — все призывали отправлять Bitcoin и получать двойной возврат. За считанные минуты на их кошельки поступило более 110 тысяч BTC. Весь интернет взорвался. Но есть одна вещь — они могли бы обвалить рынки, утечь личные сообщения, распространять фейковые новости о войне. Вместо этого они просто зарабатывали крипту. Это была чистая психологическая война.

ФБР поймало его за две недели, используя IP-логи и сообщения в Discord. Грэм столкнулся с 30 уголовными обвинениями и потенциально 210 годами заключения. Но поскольку он был несовершеннолетним, он договорился о 3 годах в ювенальной тюрьме и испытательном сроке. Он был 17, когда взломал Twitter. Ему было 20, когда он вышел на свободу. Всё еще богат. Всё еще недосягаем.

Что меня поражает — это ирония. Он доказал, что не нужно взламывать системы, если можно обмануть тех, кто ими управляет. Социальная инженерия побеждает безопасность каждый раз, потому что слабое звено — человек. А глядя на X сегодня, он наполнен теми же крипто-мошенничествами, которые сделали Грэма богатым. Психология все еще работает.

Настоящий урок здесь не в том, что Грэм был каким-то гениальным хакером. А в том, что страх, жадность и доверие — это все еще самые уязвимые вещи на Земле. Никогда не доверяйте срочности, никогда не делитесь учетными данными, никогда не думайте, что проверенные аккаунты — это действительно те, за кого себя выдают. Потому что Грэм Иван Кларк показал нам, что самый большой взлом — не технический, а человеческий.