Một thiếu niên 17 tuổi đã sử dụng thủ đoạn lừa đảo xã hội để kiểm soát Twitter, một tweet đã cuốn trôi 1.1 triệu đô la.

Vào ngày 15 tháng 7 năm 2020, Twitter đã diễn ra một tình huống kỳ lạ: Elon Musk, Barack Obama, Jeff Bezos và tài khoản chính thức của Apple đồng loạt đăng tải - “Chuyển 1000 đô la Bitcoin, tôi sẽ chuyển lại 2000 cho bạn”.

Đây không phải là trò đùa. Chỉ trong vài giờ, hơn 1 triệu đô la Bitcoin đã đổ vào ví của hacker. Twitter sau đó đã khóa tất cả các tài khoản Blue V trên toàn cầu - lần đầu tiên trong lịch sử.

Nhưng vụ hack gây chấn động Silicon Valley này không phải do một nhóm hacker Nga đứng sau, mà là một thiếu niên 17 tuổi đến từ Florida - Graham Ivan Clark.

Anh ấy đã làm điều đó như thế nào?

Không phải là phá mã, mà là phá vỡ bản chất con người.

Graham lớn lên ở Tampa từ nhỏ, gia đình tan vỡ, cuộc sống khó khăn. Anh ấy bắt đầu lừa đảo trong Minecraft - bán đồ vật trong game, nhận tiền rồi chạy mất. Sau đó, anh ấy nâng cấp lên việc hack kênh YouTuber đã báo cáo anh.

Khi 15 tuổi, anh gia nhập diễn đàn OGUsers - một cộng đồng hacker chuyên buôn bán tài khoản bị đánh cắp. Nhưng anh không bao giờ viết mã. Anh sử dụng kỹ thuật xã hội: giả mạo, đe dọa, lừa đảo.

Khi 16 tuổi, anh ấy đã nắm vững chiêu trò chuyển đổi SIM - giả mạo nhân viên công ty điện thoại, lừa nhà mạng chuyển quyền kiểm soát số điện thoại của nạn nhân cho mình. Một khi thành công, hộp thư điện tử, ví tiền điện tử, tài khoản ngân hàng của nạn nhân đều thuộc về anh ta.

Anh ta nhắm vào những nhà đầu tư tiền điện tử khoe khoang trên mạng. Nhà đầu tư mạo hiểm Greg Bennett thức dậy và phát hiện hơn 1 triệu đô la Bitcoin đã biến mất. Hacker để lại tin nhắn đe dọa anh: “Nếu không bồi thường, chúng tôi sẽ tìm cả gia đình anh.”

Cú đánh cuối cùng

Đến giữa năm 2020, Graham muốn thực hiện một thương vụ lớn nhất: trực tiếp đánh sập Twitter.

Trong thời gian đại dịch, nhân viên Twitter làm việc từ xa tại nhà. Anh ta và một hacker trẻ tuổi khác giả mạo bộ phận hỗ trợ kỹ thuật nội bộ gọi điện cho nhân viên, lừa họ nhấp vào trang đăng nhập giả. Hàng chục nhân viên đã bị lừa.

Họ từng bước leo lên hệ thống quyền lực nội bộ của Twitter - cuối cùng tìm thấy “tài khoản Chế độ Thần”, có thể đặt lại mật khẩu của bất kỳ ai.

Hai vị thành niên bất ngờ kiểm soát 130 tài khoản quyền lực nhất toàn cầu.

Họ có thể đã rò rỉ DMs, phát đi cảnh báo chiến tranh giả, làm tê liệt thị trường. Nhưng họ chỉ đơn giản là khởi động một trò lừa đảo Bitcoin - chứng minh rằng họ có thể kiểm soát loa phóng thanh lớn nhất trên internet.

Sau đó thì sao?

FBI đã xác định được anh ta trong vòng hai tuần - nhật ký IP, ghi chép trò chuyện Discord, dữ liệu SIM đều chỉ về Graham.

Anh ta phải đối mặt với 30 tội danh trọng, mức án cao nhất là 210 năm.

Nhưng vì anh ấy là vị thành niên, anh ấy chỉ phải thụ án trong trại giam trẻ em 3 năm, cộng thêm 3 năm án treo.

Khi 17 tuổi, anh ta đã hack Twitter. 20 tuổi, anh ta ra khỏi tù - đã rất giàu có.

Mỉa mai thay

Bây giờ Twitter đã trở thành X, hàng ngày chìm trong những trò lừa đảo tiền điện tử. Nguyên lý của những trò lừa đảo đó? Chính là bộ quy tắc mà Graham đã sử dụng - lợi dụng lòng tham, nỗi sợ hãi và sự tin tưởng của con người.

Bài học chính：

• Không có công ty thực sự nào sẽ thúc giục bạn chuyển tiền ngay lập tức
• Đừng chia sẻ bất kỳ mã xác minh nào
• Tài khoản xanh V dễ bị giả mạo nhất
• Trước khi đăng nhập, hãy kiểm tra URL

Kỹ thuật xã hội không cần mã. Nó cần hiểu tâm lý con người. Graham đã chứng minh một sự thật tàn nhẫn:

Bạn không cần phải phá hủy hệ thống - chỉ cần lừa gạt người điều hành hệ thống.