Bạn có để ý rằng những vụ hack lớn nhất không phải về mã code? Chúng về con người. Gần đây tôi đã đọc về Graham Ivan Clark và thành thật mà nói, câu chuyện của anh ấy là một bài học về lý do tại sao sân khấu an ninh thường thất bại.

Vậy hãy hình dung thế này: ngày 15 tháng 7 năm 2020. Bạn đang lướt Twitter và đột nhiên Elon Musk, Obama, Bezos, Apple — về cơ bản tất cả các tài khoản xác thực bạn tin tưởng — đều đăng cùng một thứ. Gửi Bitcoin, nhận gấp đôi. Nghe có vẻ như một meme xấu, đúng không? Ngoại trừ nó là thật. Các tweet đang trực tiếp. Và trên $110K , Bitcoin biến mất vào các ví.

Điều khiến tôi sốc là. Đó không phải là một hoạt động của nhóm Nga tinh nhuệ. Nó thậm chí còn không phải là một cuộc tấn công mạng tinh vi. Graham Ivan Clark mới 17 tuổi. Một cậu bé nghèo từ Tampa với một chiếc laptop và một chiếc điện thoại. Chỉ vậy thôi.

Phần điên rồ nhất? Cậu ấy không giải mã bất kỳ mã nào. Cậu ấy gọi điện cho nhân viên Twitter trong thời gian phong tỏa COVID, giả làm kỹ thuật viên nội bộ, gửi cho họ các trang đăng nhập giả mạo. Kỹ thuật xã hội. Thuần túy tâm lý học. Hàng chục nhân viên đã bị lừa vì áp lực cảm thấy thật, sự khẩn cấp cảm thấy thật, quyền lực cảm thấy thật.

Tiếp theo, hai thiếu niên này có quyền truy cập vào một tài khoản chế độ Thần. Một bảng điều khiển có thể đặt lại mọi mật khẩu trên nền tảng. Đột nhiên họ kiểm soát 130 trong số những tài khoản quyền lực nhất thế giới.

Nhưng phần câu chuyện của Graham Ivan Clark trở nên tối hơn. Trước khi Twitter, anh ta đã thực hiện các cuộc đổi SIM từ khi 16 tuổi — thuyết phục các công ty điện thoại chuyển số của người khác, rút tiền khỏi ví crypto, trộm hàng triệu đô la. Một nhà đầu tư mạo hiểm thức dậy và phát hiện hơn $1M trong Bitcoin đã biến mất. Khi nạn nhân cố liên hệ, tin nhắn trả lại khiến người ta rợn người: trả tiền hoặc chúng tôi sẽ đến nhà bạn.

Số tiền đó khiến anh ta trở nên liều lĩnh. Anh ta lừa đảo chính các đối tác của mình. Kẻ thù xuất hiện tại nhà anh. Cuộc sống offline của anh ta rơi vào ma túy, các mối liên hệ băng đảng, hỗn loạn. Một người bạn bị bắn. Anh ta tuyên bố vô tội. Rồi lại đi tù.

Đến năm 2019 — cảnh sát đột kích căn hộ của anh. Họ tìm thấy 400 BTC. Gần 4 triệu đô la. Vì còn là thiếu niên, anh ta đã hoàn trả $1M và hợp pháp giữ phần còn lại. Anh ta đã qua mặt hệ thống.

Nhanh chóng đến bây giờ. Graham Ivan Clark đã thụ án ba năm trong tù vị thành niên, ra tù khi 20 tuổi, và giờ anh tự do. Giàu có. Điều mỉa mai? X hiện ngập tràn các trò lừa đảo giống hệt đã làm anh giàu. Đổi SIM, xác minh giả, chiến thuật khẩn cấp — chúng vẫn hiệu quả trên hàng triệu người.

Bài học ở đây là gì? Những kẻ lừa đảo không phá vỡ hệ thống. Họ phá vỡ con người. Họ khai thác nỗi sợ hãi, lòng tham, sự tin tưởng. Đó luôn là điểm yếu thực sự.

Graham Ivan Clark đã chứng minh điều gì đó tàn nhẫn: bạn không cần phải là hacker bậc thầy nếu chỉ cần lừa gạt những người điều hành hệ thống. Và thành thật mà nói, điều đó còn đáng sợ hơn bất kỳ lỗ hổng zero-day nào. Bởi vì tâm lý học không cần bản vá.