Como um adolescente de 17 anos usou táticas de engenharia social para controlar o Twitter, levando a um roubo de 1,1 milhão de dólares com um único tweet.

No dia 15 de julho de 2020, o Twitter assistiu a um enredo bizarro: Musk, Obama, Bezos e a conta oficial da Apple publicaram ao mesmo tempo - “Transferência de 1000 dólares em Bitcoin, eu te devolvo 2000”.

Isto não é uma brincadeira. Em poucas horas, mais de 1 milhão de dólares em Bitcoin fluíram para a carteira do hacker. O Twitter, em seguida, fechou todas as contas com o símbolo azul V em todo o mundo – pela primeira vez na história.

Mas por trás deste chocante caso de hackers no Vale do Silício, não está um grupo de hackers da Rússia, mas sim um jovem de 17 anos da Flórida — Graham Ivan Clark.

Como ele conseguiu isso?

Não é quebrar códigos, mas sim quebrar a natureza humana.

Graham cresceu em Tampa, em uma família desfeita e vivendo dificuldades. Ele começou a enganar no Minecraft - vendendo itens dentro do jogo e fugindo com o dinheiro. Depois, ele passou a hackear o canal de YouTuber que o denunciou.

Aos 15 anos, ele se juntou ao fórum OGUsers - uma comunidade hacker que negocia contas roubadas. Mas ele nunca escreveu código. Ele usava engenharia social: fingir ser outra pessoa, ameaçar, enganar.

Aos 16 anos, ele dominou o esquema de troca de SIM - fingindo ser um funcionário da empresa de telefonia, enganou a operadora para transferir o controle do número de telefone da vítima para ele. Uma vez conseguido, o e-mail, a carteira de criptomoedas e a conta bancária da vítima eram todos dele.

Ele mirou os investidores em criptomoedas que se exibem online. O capitalista de risco Greg Bennett acordou e descobriu que mais de um milhão de dólares em Bitcoin desapareceu. Os hackers deixaram uma mensagem ameaçando-o: “Se não devolver o dinheiro, vamos atrás da sua família.”

Último golpe

Até meados de 2020, Graham queria fazer o maior negócio: hackear diretamente o Twitter.

Durante a pandemia, os funcionários do Twitter trabalharam remotamente a partir de casa. Ele e outro jovem hacker fingiram ser suporte técnico interno e ligaram para os funcionários, enganando-os para que abrissem uma página de login falsa. Dezenas de funcionários caíram na armadilha.

Eles subiram passo a passo na hierarquia interna de permissões do Twitter - finalmente encontraram a “conta do Modo Deus”, que pode redefinir a senha de qualquer pessoa.

Dois menores de idade de repente controlaram 130 das contas mais poderosas do mundo.

Eles poderiam ter vazado DMs, publicado falsos alertas de guerra, paralisado o mercado. Mas eles simplesmente iniciaram um esquema de Bitcoin - provando que podiam controlar o maior megafone da internet.

E depois?

O FBI localizou-o em duas semanas - os registos de IP, as conversas no Discord e os dados do SIM apontavam todos para Graham.

Ele enfrenta 30 acusações de crimes graves, com uma pena máxima de 210 anos.

Mas como ele é menor de idade, ele cumpre pena em uma prisão juvenil por 3 anos, além de 3 anos de liberdade condicional.

Ele hackeou o Twitter aos 17 anos. Saiu da prisão aos 20 anos - já era muito rico.

Ironicamente

Agora o Twitter tornou-se X, mergulhado todos os dias em esquemas de criptomoeda. Qual é o princípio desses esquemas? É o mesmo que Graham usou - explorar a ganância, o medo e a confiança da natureza humana.

Lição chave:

• Nenhuma empresa real o pressionará a transferir imediatamente.
• Não partilhe qualquer código de verificação
• Conta azul V é a mais fácil de ser falsificada
• Antes de fazer login, verifique obrigatoriamente a URL

A engenharia social não precisa de código. O que precisa é de entender a mente humana. Graham provou uma verdade cruel:

Você não precisa destruir o sistema - apenas enganar as pessoas que operam o sistema.