Щойно я знову перечитав випадок Грема Івана Кларка, і чесно кажучи, це досі одна з найдикіших історій в інтернеті. Це не була державна операція, не колектив російських хакерів-спеціалістів. Це був підліток із Флориди з ноутбуком, телефоном і такою впевненістю, що здавалося, вона незламна.

Уявіть: 15 липня 2020 року Ілон Маск, Обама, Б Bezos, Apple — по суті, найвпливовіші голоси планети — одночасно опублікували одне й те саме: надішліть тисячу доларів у Bitcoin, отримайте дві тисячі назад. Це здавалося настільки абсурдним жартом, що люди майже не вірили. Але це було правдою. Twitter був повністю зламаний. За кілька хвилин понад 110 тисяч доларів у Bitcoin перетікли до гаманців, якими керував цей хлопець. Платформа мусила заблокувати всі глобальні перевірені акаунти — такого раніше не траплялося.

І тут починається найцікавіше: Грем Іван Кларк не був генієм у коді. Він виріс у Тампі без особливого, і з юних років відкрив для себе щось набагато потужніше за будь-який технічний експлойт: соціальну інженерію. У дитинстві він шахраював у Minecraft — заводив дружбу, продавав предмети, брав гроші і зникав. Коли YouTube-ери намагалися його викрити, він зламував їхні канали у помсту. Контроль був його одержимістю.

У 15 років він увійшов у OGUsers, форум, де обмінювалися викраденими акаунтами. У 16 вже володів технікою SIM swapping — переконував працівників мобільних операторів переносити чужі номери, що давало йому доступ до пошти, криптогаманців, банківських рахунків. Практично він крадав цілі життя. Його жертвами були високопрофільні інвестори у крипту. Один венчурний капіталіст втратив понад мільйон у Bitcoin і отримав повідомлення: заплати або ми візьмемо твою сім’ю.

Потім настала хаос поза мережею. Гроші зробили його зарозумілим, він обдурив своїх же співучасників, його навідували додому. Наркотики, бандити, один друг був убитий. Але якось Грем Іван Кларк залишився на свободі. Коли поліція обшукала його квартиру, вони знайшли 400 Bitcoin — майже чотири мільйони доларів. Він повернув мільйон, щоб закрити справу. Йому було 17 років. Оскільки він був неповнолітнім, за законом він залишився з рештою.

До 2020 року у нього був ще один останній ціль — зламати сам Twitter. Під час карантину працівники працювали з дому. Грем і ще один підліток видавали себе за внутрішню технічну підтримку, дзвонили працівникам, просили скинути облікові дані, надсилали фальшиві сторінки входу. Дюжини з них потрапили. Постепенно вони піднімалися по внутрішній ієрархії, доки не знайшли акаунт із повними правами адміністратора. Раптом двоє хлопців контролювали 130 найвпливовіших акаунтів світу.

Цікаво, що вони могли б спричинити колапс ринків, витікати приватні повідомлення, викликати глобальну паніку. Замість цього вони просто вимагали Bitcoin. Це вже не було про гроші — це було про те, щоб показати, що вони можуть контролювати найбільший мегафон планети.

ФБР їх швидко зловило за дві тижні. 30 кримінальних звинувачень, потенційно до 210 років ув’язнення. Але вони домовилися. Оскільки він був неповнолітнім, відбув 3 роки у ювенальній в’язниці і 3 роки умовно. Вийшов на свободу у 20 років.

Зараз, через шість років, я дивлюся на X — платформу, яка була Twitter — і вона наповнена криптовалютними шахрайствами щодня. Ті самі схеми, що збагачували Грема Івана Кларка. Та сама психологія, яка досі працює на мільйони людей. Це іронічно: хлопець, який зламав Twitter до того, як він став X, і тепер X наповнений тими ж трюками, що зробили його знаменитим.

Що справді показує цей випадок, — це те, що шахраї не зламують системи, вони зламують людей. Не довіряйте терміновості — легальні бізнеси не вимагають миттєвих платежів. Не діліться кодами. Не вірте, що перевірений акаунт гарантує легітимність. Перевіряйте URL перед входом. Соціальна інженерія — це не техніка, а емоції. Страх, жадібність, довіра — це найуразливіші точки, які можна експлуатувати.

Грем Іван Кларк зламав Twitter, але справжній злом ніколи не був системним. Це був психологічний злом. Він показав щось, що нам слід пам’ятати: не потрібно нічого ламати, якщо можна обдурити тих, хто це контролює.