17岁黑客成功欺骗老马并盗取数百万比特币

Twitter上最大社交工程攻击背后的真实故事

这不是一场网络战争。这不是一个俄罗斯精英工会。这是一个来自佛罗里达州的破产青少年，他手里拿着一台笔记本电脑、一部手机，以及改变硅谷的胆量。格雷厄姆·伊万·克拉克做了一件没人想过的事：他不是黑客代码——他黑客了人。

改变一切的星期二

在 2020年7月15日，经过验证的埃隆·马斯克、奥巴马、贝索斯和苹果发布了相同的内容：

“给我发送 $1,000 的 BTC，我会把 $2,000 发回给你。”

看起来像一个 meme。其实并不是。在 几个小时内，超过 $110,000 的比特币 流入了攻击者控制的钱包。这是 Twitter 历史上第一次全球停用所有经过验证的账户。

负责的人？一个来自佛罗里达州坦帕的17岁男孩。

从视频游戏诈骗到控制Twitter

格雷厄姆在没有钱、没有方向的情况下长大。当其他人玩Minecraft时，他通过向玩家出售假物品来诈骗他们。在15岁时，他加入了OGUsers，一个黑客论坛，在那里他学习了社会工程——他不需要懂编程，只需要心理学。

在16岁时，他主导了SIM交换：说服电话公司员工获取他人的号码控制。通过这一点，他获得了电子邮件、加密钱包和银行账户的访问权限。他的受害者包括在网上展示其财富的高端加密投资者。风险投资家Greg Bennett醒来时发现自己失去了**$1 百万BTC**。

最终跳跃：Twitter 从内部

在2020年中，格雷厄姆有一个目标：在18岁之前黑客攻击Twitter。在COVID封锁期间，员工们从个人设备上远程工作。

Graham和他的同伙假装成内部技术支持。他们打电话说需要"重置凭证"，并发送了假登录页面。数十名员工上当受骗。他们逐步访问内部账户——直到找到一个拥有"上帝模式"的账户。

突然，两个青少年控制了全球130个最强大的账户。

$110,000 的推文

晚上8点，推文发布。全球混乱。蓝色勾选被封锁。名人们惊慌失措。

黑客们可能已经崩溃了市场，泄露了私人DM，发布了虚假的战争警报。但他们只是收集了加密货币。因为这不是关于金钱——而是关于证明他们可以控制互联网上最大的扩音器。

合法捕获与逃脱

FBI在两周内追踪到了他——IP日志、Discord消息、SIM数据。格雷厄姆面临30项刑事指控。潜在：210年监禁。

但是他达成了一项协议。由于他未成年，他在青少年监狱服刑仅3年，之后又3年假释。他在17岁时被捕，20岁时获释。并且他保留了大部分的钱——合法地。

讽刺之转

今天，格雷厄姆很自由。富有。X (之前的Twitter)在埃隆的管理下每天都充斥着加密诈骗。让他致富的相同策略每天都在数百万用户身上发挥作用。

他尝试了一个残酷的真相：如果你欺骗管理系统的人，你就不需要破坏这个系统。

如何不成为下一个受害者

• 排除紧迫感。 真实的生意不要求即时付款
• 永远不要分享代码或凭证
• 不要信任经过验证的账户。 这些是最容易被冒充的。
• 在登录之前验证URLs

对Twitter的攻击不是技术性的——而是心理上的。恐惧、贪婪和信任仍然是地球上最容易被利用的脆弱点。