Hãy tưởng tượng — một cậu bé 17 tuổi từ Tampa với một chiếc laptop và điện thoại đã khiến Twitter tạm thời tê liệt trong nhiều giờ. Không malware phức tạp, không khai thác zero-day. Chỉ là kỹ năng xã hội thuần túy khiến một số công ty công nghệ thông minh nhất thế giới bị lừa. Đây là câu chuyện của Graham Ivan Clark, và thành thật mà nói, tôi vẫn không thể tin nổi cách mọi chuyện diễn ra.

Hãy để tôi đưa bạn trở lại ngày 15 tháng 7 năm 2020. Bạn đang lướt Twitter và đột nhiên thấy Elon Musk, Obama, Bezos, Apple, Biden — hầu như tất cả các tài khoản xác thực quan trọng đều đăng cùng một nội dung: "Gửi tôi 1.000 USD bằng BTC và tôi sẽ gửi lại bạn 2.000 USD." Ban đầu, bạn nghĩ đó chỉ là trò đùa, đúng không? Nhưng rồi bạn nhận ra... đây không phải là trò đùa. Twitter thực sự bị xâm phạm. Nền tảng này nằm trong tay ai đó không nên có mặt ở đó.

Chỉ trong vài phút, hơn 110.000 USD Bitcoin đã vào ví của hacker. Trong vòng vài giờ, Twitter đã trở nên cực đoan và khóa tất cả các tài khoản xác thực trên toàn cầu — điều chưa từng xảy ra trước đây. Và kẻ đứng đằng sau tất cả? Không phải là một nhóm hacker Nga tinh nhuệ. Không phải là một tội phạm mạng sống trong tầng hầm với nhiều năm kinh nghiệm. Chỉ là một thiếu niên nghèo tên Graham Ivan Clark.

Điều làm câu chuyện này thực sự thú vị là gì? Clark không lớn lên với ý định trở thành hacker theo cách truyền thống. Cậu bé từ một gia đình tan vỡ ở Florida, không có tiền và không có triển vọng thực sự. Cậu bắt đầu nhỏ thôi — lừa đảo trên Minecraft, làm bạn với người khác, lấy đồ trong game, bỏ rơi họ. Khi các YouTuber cố gắng vạch trần, cậu ta hack luôn kênh của họ để trả thù. Đến 15 tuổi, cậu đã tham gia vào OGUsers, diễn đàn ngầm nổi tiếng nơi mọi người trao đổi tài khoản mạng xã hội bị đánh cắp. Nhưng điều quan trọng là — cậu không thực sự lập trình. Cậu chỉ rất giỏi trong việc thao túng con người.

Sau đó, cậu phát hiện ra SIM swapping. Cơ bản, bạn thuyết phục nhân viên của nhà mạng chuyển số điện thoại của ai đó sang thiết bị bạn kiểm soát. Khi đã có quyền kiểm soát, bạn sở hữu email, ví crypto, tài khoản ngân hàng của họ — mọi thứ. Một trong những nạn nhân của cậu là một nhà đầu tư mạo hiểm tên Greg Bennett. Clark đã rút hơn $1 triệu USD Bitcoin từ anh ta. Khi Bennett cố gắng thương lượng, phản hồi khiến người ta lạnh sống lưng: "Thanh toán hoặc chúng tôi sẽ đến nhà và làm hại gia đình bạn."

Số tiền đó khiến Graham Ivan Clark trở nên liều lĩnh. Cậu bắt đầu lừa đảo các cộng sự hacker của mình. Họ đã tiết lộ danh tính của cậu. Đến nhà cậu. Cuộc sống offline của cậu cũng rối loạn — ma túy, liên kết với băng đảng, hỗn loạn. Một vụ giao dịch thất bại, bạn của cậu bị bắn. Cậu tuyên bố vô tội và bằng cách nào đó vẫn thoát được. Đến năm 2019, cảnh sát đột kích căn hộ của cậu và phát hiện 400 BTC — gần $4 triệu USD vào thời điểm đó. Cậu đã trả lại $1 triệu USD để "đóng hồ sơ" và vì còn là thiếu niên, pháp luật cho phép cậu giữ phần còn lại. Cậu đã qua mặt hệ thống một lần.

Nhưng cậu chưa dừng lại. Đến năm 2020, mục tiêu cuối cùng của cậu trước khi tròn 18 là hack chính Twitter. Đó là mùa dịch COVID, nhân viên Twitter làm việc từ xa, đăng nhập từ thiết bị cá nhân. Cơ hội hoàn hảo. Clark và một thiếu niên khác giả làm nhân viên kỹ thuật nội bộ, gọi điện cho nhân viên, nói họ cần đặt lại thông tin đăng nhập, gửi các trang đăng nhập giả mạo của công ty. Hàng chục người đã mắc bẫy. Họ tiếp tục leo lên cấp cao trong hệ thống nội bộ của Twitter cho đến khi tìm ra — một tài khoản "Chế độ Thần thánh" có thể đặt lại mọi mật khẩu trên nền tảng. Đột nhiên, hai thiếu niên kiểm soát 130 trong số những tài khoản quyền lực nhất thế giới.

Vào 8 giờ tối ngày 15 tháng 7, các tweet bắt đầu xuất hiện. Internet đóng băng. Thị trường có thể sụp đổ. Cảnh báo chiến tranh giả có thể phát đi. Hàng tỷ USD có thể bị đánh cắp. Thay vào đó, họ chỉ đào Bitcoin. Thật ra, mục đích không phải là tiền — mà là chứng minh họ có thể kiểm soát chiếc loa lớn nhất thế giới.

FBI đã bắt Graham Ivan Clark trong vòng hai tuần bằng cách sử dụng nhật ký IP, tin nhắn Discord và dữ liệu SIM. Cậu đối mặt với 30 cáo buộc hình sự và có thể ngồi tù tới 210 năm. Nhưng hệ thống đã dàn xếp cho cậu một thỏa thuận. Vì còn là thiếu niên, cậu chỉ thụ án 3 năm trong trại trẻ vị thành niên và 3 năm án treo. Cậu mới 17 tuổi khi xâm nhập vào thế giới này. Cậu 20 tuổi khi ra tù.

Điều đáng chú ý là — ngày nay cậu đã tự do, giàu có và gần như không thể chạm tới. X (trước đây là Twitter) dưới quyền Elon Musk ngày nào, mỗi ngày đều tràn ngập các trò lừa đảo crypto. Chính những trò lừa đó đã làm giàu cho Graham Ivan Clark. Chính tâm lý đó vẫn còn hiệu quả trên hàng triệu người.

Bài học thực sự ở đây? Những kẻ này không hack hệ thống — họ hack con người. Kỹ năng xã hội không phải là về kỹ thuật. Đó là về hiểu nỗi sợ, lòng tham và sự tin tưởng. Đừng bao giờ tin vào sự khẩn cấp. Đừng chia sẻ thông tin đăng nhập. Đừng nghĩ rằng các tài khoản xác thực an toàn. Luôn kiểm tra URL trước khi đăng nhập. Bởi thành thật mà nói, bạn không cần phải phá hệ thống nếu có thể lừa người điều hành nó.