Чи помічали ви коли-небудь, що найбільші зломи не стосуються коду? Вони про людей. Останнім часом я читаю про Грема Івана Кларка, і чесно кажучи, його історія — майстер-клас у тому, чому театралізація безпеки провалюється.

От уявіть собі: 15 липня 2020 року. Ви прокручуєте Твіттер, і раптом Ілон Маск, Обама, Б Bezos, Apple — фактично всі перевірені акаунти, яким ви довіряєте — публікують одне й те саме. Надіслати Bitcoin, отримати подвоєне назад. Звучить як поганий мем, правда? Але це реально. Твіти активні. І через $110K Bitcoin просто зникли у гаманцях.

Ось що мене дивує. Це не була якась елітна російська операція. Це навіть не був складний кібернапад. Грем Іван Кларк був 17-річним. Бідним хлопцем із Тампи з ноутбуком і телефоном. І все.

Дивна частина? Він не зламав жодного коду. Він дзвонив співробітникам Твіттера під час карантину, прикидався внутрішньою технічною підтримкою, надсилав їм фальшиві сторінки входу. Соціальна інженерія. Чиста психологія. Дюжина співробітників повірили, бо тиск здавався реальним, терміновість — справжньою, авторитет — реальним.

Наступного разу ці двоє підлітків отримали доступ до акаунта у режимі Бога. Одне панельне меню, яке скидає будь-який пароль на платформі. Раптом вони контролюють 130 найвпливовіших акаунтів на Землі.

Але тут історія Грема Івана Кларка стає ще темнішою. Перед тим, як почати у Твіттері, він уже займався SIM-замінами з 16 років — переконував телефонні компанії передати номери людей, злив крипто-гаманці, крадав мільйони. Один венчурний капіталіст прокинувся і побачив, що зникло понад $1M Bitcoin. Коли жертви намагалися зв’язатися, відповідь була моторошною: заплатіть або ми прийдемо за вашою сім’єю.

Гроші зробили його безрозсудним. Він обманював своїх партнерів. Ворогі приходили до його дому. Його життя поза мережею перетворилося на наркотики, зв’язки з бандами, хаос. Друг отримав поранення. Він стверджував, що невинний. Знову вийшов на свободу.

Потім 2019 року — поліція обшукала його квартиру. Вони знайшли 400 BTC. Майже 4 мільйони доларів. Оскільки він був неповнолітнім, він повернув $1M і легально зберіг решту. Він обійшов систему.

Швидко до сьогодні. Грем Іван Кларк відбув три роки у ювенальній в’язниці, вийшов у 20 і тепер він на свободі. Багатий. Іронія? X наповнений точно такими ж шахрайствами, що зробили його багатим. SIM-заміни, фальшива верифікація, тактики терміновості — вони все ще працюють на мільйонах.

Який тут урок? Шахраї не зламують системи. Вони зламують людей. Вони експлуатують страх, жадібність, довіру. Це завжди була справжня вразливість.

Грем Іван Кларк довів щось жорстоке: не потрібно бути майстер-хакером, якщо ти можеш просто обдурити тих, хто керує системою. І чесно кажучи, це страшніше за будь-який нуль-день. Адже психологія не потребує патчів.