Comment un adolescent de 17 ans a utilisé des techniques de manipulation sociale pour contrôler Twitter, un tweet a emporté 1,1 million de dollars.

Le 15 juillet 2020, une intrigue étrange s'est déroulée sur Twitter : Musk, Obama, Bezos et le compte officiel d'Apple ont publié en même temps - “Transférez 1000 dollars Bitcoin, je vous renvoie 2000”.

Ce n'est pas une blague. En quelques heures, plus de 1,1 million de dollars en Bitcoin ont afflué vers le portefeuille des hackers. Twitter a ensuite fermé tous les comptes vérifiés bleus dans le monde — pour la première fois dans l'histoire.

Mais derrière cette attaque de hacker qui a choqué la Silicon Valley, il ne s'agit pas d'un groupe de hackers russes, mais d'un adolescent de 17 ans venu de Floride - Graham Ivan Clark.

Comment a-t-il fait ?

Ce n'est pas le code qui est craqué, mais la nature humaine.

Graham a grandi à Tampa, dans une famille en difficulté et en désaccord. Il a commencé à escroquer dans Minecraft - en vendant des objets dans le jeu et en emportant l'argent. Plus tard, il a évolué vers le piratage de la chaîne YouTuber qui l'avait dénoncé.

À 15 ans, il a rejoint le forum OGUsers - une communauté de hackers qui échangent des comptes volés. Mais il n'écrivait jamais de code. Il utilisait l'ingénierie sociale : usurpation d'identité, menaces, tromperie.

À 16 ans, il maîtrisait l'escroquerie de conversion de carte SIM - se faisant passer pour un employé d'une compagnie de téléphone, il trompait les opérateurs pour transférer le contrôle du numéro de téléphone de la victime à lui. Une fois le coup réussi, la boîte mail, le portefeuille crypté et le compte bancaire de la victime lui appartenaient tous.

Il a jeté son dévolu sur ces investisseurs en cryptomonnaie qui se vantent de leur richesse en ligne. Le capital-risqueur Greg Bennett s'est réveillé pour découvrir que plus d'un million de dollars en Bitcoin avait disparu. Les hackers ont laissé un message le menaçant : “Pas de remboursement, nous allons chercher toute ta famille.”

Dernier coup

D'ici mi-2020, Graham voulait réaliser la plus grande opération : casser Twitter directement.

Pendant la pandémie, les employés de Twitter ont travaillé à distance depuis chez eux. Lui et un autre jeune hacker se sont fait passer pour un support technique interne et ont appelé des employés, les incitant à cliquer sur une fausse page de connexion. Des dizaines d'employés sont tombés dans le piège.

Ils ont gravi les échelons des privilèges internes de Twitter étape par étape - finalement, ils ont trouvé le “compte Dieu” qui peut réinitialiser le mot de passe de n'importe qui.

Deux mineurs ont soudainement pris le contrôle de 130 des comptes les plus puissants au monde.

Ils auraient pu divulguer des DMs, publier de fausses alertes de guerre, paralyser le marché. Mais ils ont simplement lancé une escroquerie Bitcoin - prouvant qu'ils pouvaient contrôler le plus grand amplificateur d'Internet.

Et après ?

Le FBI l'a verrouillé en deux semaines - les journaux IP, les conversations Discord et les données SIM pointent tous vers Graham.

Il fait face à 30 chefs d'accusation criminels, avec une peine maximale de 210 ans.

Mais parce qu'il est mineur, il purge seulement une peine de 3 ans dans un centre de détention pour mineurs, suivie de 3 ans de sursis.

À 17 ans, il a piraté Twitter. À 20 ans, il est sorti de prison - déjà très riche.

Ironiquement

Maintenant, Twitter est devenu X, et il est chaque jour inondé d'escroqueries crypto. Quels sont les principes de ces escroqueries ? C'est le même système que Graham a utilisé - exploiter la cupidité, la peur et la confiance de l'humanité.

Leçon clé :

• Aucune vraie entreprise ne vous poussera à effectuer un virement immédiatement.
• Ne partagez aucun code de vérification
• Le compte bleu V est le plus facile à usurper.
• Avant de vous connecter, vérifiez absolument l'URL

L'ingénierie sociale ne nécessite pas de code. Ce qu'elle nécessite, c'est de comprendre le cœur humain. Graham a prouvé une vérité cruelle :

Vous n'avez pas besoin de détruire le système - il vous suffit de tromper les personnes qui exécutent le système.