Заметили ли вы, что самые крупные взломы не связаны с кодом? Они связаны с людьми. В последнее время я читаю о Грэеме Иване Кларке, и честно говоря, его история — это мастер-класс о том, почему театрализованная безопасность терпит неудачу.

Так что представьте: 15 июля 2020 года. Вы прокручиваете Twitter, и вдруг Илона Маска, Обаму, Бейзоса, Apple — в общем, все проверенные аккаунты, которым вы доверяете — все публикуют одно и то же сообщение. Отправьте биткоины, получите двойной возврат. Звучит как плохой мем, правда? Но это реально. Твиты в прямом эфире. И через $110K биткоины просто исчезли в кошельках.

Вот что меня удивляет. Это не была какая-то элитная российская операция. Это даже не была сложная кибератака. Грэм Иван Кларк был 17-летним парнем. Бедным ребенком из Тампы с ноутбуком и телефоном. Всё.

Самое удивительное? Он не взломал никакой код. Он звонил сотрудникам Twitter во время карантина, притворяясь внутренней технической поддержкой, отправлял им фальшивые страницы входа. Социальная инженерия. Чистая психология. Дюжина сотрудников повелись, потому что давление казалось реальным, срочность — настоящей, авторитет — реальным.

Следующее, что произошло: эти двое подростков получили доступ к аккаунту в режиме Бога. Одной панелью, которая сбрасывает любой пароль на платформе. Вдруг они контролируют 130 самых мощных аккаунтов на Земле.

Но вот где история Грэма Иванa Кларка становится мрачнее. До Twitter он уже занимался SIM-заменами с 16 лет — убеждал телефонные компании отдавать номера людей, опустошал криптокошельки, крал миллионы. Один венчурный капиталист проснулся и обнаружил, что у него пропало более $1M биткоинов. Когда жертвы пытались связаться, ответ был зловещим: заплати или мы придем за твоей семьей.

Деньги сделали его безрассудным. Он обманул своих партнеров. Враги приходили к нему домой. Его жизнь вне интернета скатилась в наркотики, связи с бандами, хаос. Друг получил пулю. Он утверждал, что невиновен. Опять вышел на свободу.

Затем, в 2019 году — полиция обыскала его квартиру. Они нашли 400 BTC. Почти 4 миллиона долларов. Так как он был несовершеннолетним, он вернул $1M и законно оставил остальное. Он обманул систему.

Быстро переходим к настоящему. Грэм Иван Кларк отсидел три года в ювенальной тюрьме, вышел в 20 и теперь свободен. Богат. Ирония в том, что X заполнен точно такими же мошенничествами, которые сделали его богатым. SIM-замены, фальшивая верификация, тактики срочности — они все еще работают на миллионах.

Какой урок здесь? Мошенники не ломают системы. Они ломают людей. Они используют страх, жадность, доверие. Это всегда была настоящая уязвимость.

Грэм Иван Кларк доказал кое-что жестокое: вам не нужно быть мастером-хакером, если вы можете просто обмануть тех, кто управляет системой. И честно говоря, это более страшно, чем любой эксплойт нулевого дня. Потому что психология не нуждается в патчах.