Як 17-річний підліток використовував соціальні маніпуляції для контролю Twitter, одна твіт коштувала 1,1 мільйона доларів

15 липня 2020 року в Twitter відбулася дивна історія: Маск, Обама, Безос та офіційний акаунт Apple одночасно опублікували—“переведіть 1000 доларів Біткойн, я поверну вам 2000”.

Це не жарт. За кілька годин у більше ніж 110 мільйонів доларів Біткойн надійшло до гаманця хакера. Твіттер потім закрив усі акаунти з блакитною галочкою в усьому світі - вперше в історії.

Але за цим шокуючим хакерським інцидентом у Силіконовій долині не стоїть жодна російська хакерська група, а 17-річний підліток з Флориди — Грем Іван Кларк.

Як він це зробив?

Це не злам коду, а злам людської природи.

Ґреєм виріс у Тампі, його сім'я розпалася, а життя було важким. Він почав обманювати в Minecraft — продаючи внутрішньоігрові предмети та зникаючи з грошима. Пізніше він перейшов до зламу каналу YouTuber, який його викривав.

У 15 років він приєднався до форуму OGUsers — хакерської спільноти, що займається торгівлею вкраденими акаунтами. Але він ніколи не писав коду. Він використовував соціальну інженерію: видавав себе за інших, погрожував, обманював.

У 16 років він оволодів схемою з підміною SIM-карт — видаючи себе за працівника телефонної компанії, він обманом змушував операторів передавати контроль над номером телефону жертви йому. Як тільки йому це вдавалося, електронна пошта, крипто-гаманець та банківський акаунт жертви ставали його.

Він націлився на тих, хто в інтернеті хизується своїми статками в криптоінвестиціях. Венчурний капіталіст Грегорі Беннет прокинувся і виявив, що більше 100 тисяч доларів Біткойн зникло. Хакери залишили повідомлення з погрозою: “Не повертайте гроші, ми знайдемо вашу сім'ю.”

Останній удар

До середини 2020 року Грехем хотів здійснити найбільшу операцію: прямо знищити Твіттер.

Під час епідемії співробітники Twitter працювали вдома дистанційно. Він і ще один молодий хакер видавали себе за внутрішню технічну підтримку, телефонуючи співробітникам, щоб ввести їх в оману і змусити натиснути на фальшиву сторінку входу. Десятки співробітників попалися на цей гачок.

Вони поступово піднімалися по внутрішніх ієрархіях доступу Twitter — зрештою знайшли “акаунт Бога”, який може скинути пароль будь-кого.

Два неповнолітні раптово контролювали 130 найвпливовіших акаунтів у світі.

Вони могли б витікати DMs, публікувати фальшиві війскові тривоги, паралізувати ринок. Але вони просто запустили шахрайство з Біткойном — довівши, що можуть контролювати найбільший гучномовець в Інтернеті.

А що далі?

ФБР за два тижні його знайшло — IP журнали, чати в Discord, дані SIM всі вказують на Греєма.

Він зіткнувся з 30 тяжкими злочинами, максимальний термін ув'язнення 210 років.

Але оскільки він є неповнолітнім, він відбув3 роки ув'язнення в підлітковій в'язниці, плюс3 роки умовно.

Він зламав Твіттер у 17 років. Вийшов з в'язниці в 20 — вже був дуже багатим.

іронічно,

Зараз Твіттер перетворився на X, щодня затоплюючись у крипто-шахрайствах. Який принцип цих шахрайств? Це та сама схема, яку використовував Грехем — використання людської жадібності, страху та довіри.

Ключові уроки：

• Жодна справжня компанія не буде змушувати вас терміново перевести кошти
• Не діліться жодним кодом підтвердження
• Акаунт з синьою галочкою найпростіше підробити
• Обов'язково перевірте URL перед входом

Соціальна інженерія не потребує коду. Вона потребує розуміння людських сердець. Грехем довів жорстоку правду:

Тобі не потрібно знищувати систему — лише обдурити людей, які її запускають.