Как 17-летний подросток использовал социальную инженерию для контроля над Твиттером, утаив 1,1 миллиона долларов в одном твите

15 июля 2020 года на Твиттере развернулась странная история: аккаунты Маска, Обамы, Безоса и официального аккаунта Apple одновременно опубликовали — “Переведите 1000 долларов Биткойн, я верну вам 2000”.

Это не шутка. Всего за несколько часов в более чем 1,1 миллиона долларов Биткойн поступило в кошелек хакеров. Twitter затем закрыл все аккаунты с синей галочкой по всему миру — впервые в истории.

Но за этим шокирующим хакерским инцидентом в Силиконовой долине стоит не какая-либо российская хакерская группа, а 17-летний подросток из Флориды — Грэм Иван Кларк.

Как он это сделал?

Не взлом кода, а взлом человеческой природы.

Грэхэм с детства рос в Тампе, его семья распалась, и жизнь была трудной. Он начал обманывать в Minecraft — продавал внутриигровые предметы и просто убегал с деньгами. Позже он перешел к взлому канала YouTube, который его жаловался.

В 15 лет он присоединился к форуму OGUsers — хакерскому сообществу, занимающемуся торговлей украденными счетами. Но он никогда не писал кода. Он использовал социальную инженерию: выдавая себя за других, угрожая и обманывая.

В 16 лет он освоил схему с SIM-картами — выдавая себя за сотрудника телефонной компании, он обманом добивался передачи контроля над номером жертвы оператору связи. Как только он получал доступ, его жертва теряла доступ ко всем своим почтовым ящикам, криптокошелькам и банковским счетам.

Он прицелился на тех криптоинвесторов, которые хвастаются своим богатством в интернете. Венчурный инвестор Грег Беннет проснулся и обнаружил, что более 100 миллионов долларов Биткойн пропали. Хакеры оставили ему сообщение с угрозой: “Если не заплатишь, мы найдем твою семью.”

Последний удар

К середине 2020 года Грэм хотел провести крупнейшую сделку: прямо атаковать Твиттер.

В период пандемии сотрудники Twitter работали удаленно из дома. Он и другой юный хакер притворялись внутренней технической поддержкой, звоня сотрудникам, обманом заставляя их перейти на фальшивую страницу входа. Десятки сотрудников попались на уловку.

Они шаг за шагом пробирались через внутренние уровни доступа Twitter — в конце концов нашли “режим Бога” счет , который может сбросить пароль любого.

Два несовершеннолетних внезапно контролировали 130 самых влиятельных счетов в мире.

Они могли бы раскрыть DMs, опубликовать ложные военные предупреждения, парализовать рынок. Но они просто начали мошенничество с Биткойном — доказав, что могут контролировать самый большой громкоговоритель в интернете.

А что потом?

ФБР за две недели выявило его — IP-логи, записи чатов в Discord и данные SIM-карты все указывают на Грэхема.

Он столкнулся с 30 тяжкими преступлениями, максимальный срок заключения 210 лет.

Но поскольку он несовершеннолетний, он отбывает наказание в молодежной тюрьме 3 года, плюс 3 года условно.

Он взломал Твиттер в 17 лет. В 20 лет вышел из тюрьмы — уже был очень богат.

Ирония в том,

Теперь Твиттер превратился в X, и каждый день он тонет в криптообманах. Каковы принципы этих схем? Это та же самая схема, которую использовал Грэм — использование человеческой жадности, страха и доверия.

Ключевой урок:

• Нет настоящей компании, которая бы заставляла вас немедленно переводить деньги.
• Не делитесь никакими кодами подтверждения
• Счет с синей галочкой легче всего подделать
• Обязательно проверьте URL перед входом

Социальная инженерия не требует кода. Она требует понимания человеческой природы. Грэхэм доказал жестокую истину:

Вам не нужно разрушать систему — просто обманите людей, работающих в системе.