Tôi vừa đọc lại vụ án của Graham Ivan Clark và thành thật mà nói, nó vẫn là một trong những câu chuyện điên rồ nhất trên internet. Đây không phải là một hoạt động của nhà nước, cũng không phải là một nhóm hacker Nga tinh vi. Đó là một thiếu niên ở Florida với một chiếc laptop, một chiếc điện thoại và một sự tự tin trông có vẻ như không gì có thể phá vỡ.

Hãy nghĩ mà xem: vào ngày 15 tháng 7 năm 2020, Elon Musk, Obama, Bezos, Apple — về cơ bản là những tiếng nói lớn nhất hành tinh — đồng loạt đăng cùng một nội dung: gửi 1.000 đô la bằng Bitcoin, nhận về 2.000 đô la. Nó vô lý đến mức người ta gần như không tin nổi. Nhưng nó là thật. Twitter đã bị xâm nhập hoàn toàn. Chỉ trong vài phút, hơn 110 nghìn đô la Bitcoin đã chảy vào những ví do chính cậu bé này kiểm soát. Nền tảng này buộc phải khóa tất cả các tài khoản đã được xác minh trên toàn cầu, điều mà trước đây chưa từng xảy ra.

Và điều hấp dẫn là: Graham Ivan Clark không cần phải là thiên tài về lập trình. Cậu lớn lên ở Tampa với không mấy thứ, và từ khi còn trẻ đã phát hiện ra một điều còn mạnh mẽ hơn bất kỳ lỗ hổng kỹ thuật nào: kỹ thuật xã hội. Khi còn là một đứa trẻ, cậu lừa đảo trong Minecraft — làm quen, bán đồ, lấy tiền rồi biến mất. Khi các YouTuber tìm cách phơi bày cậu, cậu hack kênh của họ để trả thù. Kiểm soát là sự ám ảnh của cậu.

Đến 15 tuổi, cậu vào OGUsers, cái diễn đàn nơi người ta trao đổi các tài khoản bị đánh cắp. Đến 16 tuổi, cậu đã nắm vững SIM swapping — thuyết phục nhân viên nhà mạng chuyển cho cậu những số của người khác, nhờ đó cậu có quyền truy cập email, ví crypto và tài khoản ngân hàng. Nói ngắn gọn, cậu đang đánh cắp cả những cuộc đời trọn vẹn. Các nạn nhân của cậu bao gồm cả những nhà đầu tư crypto nổi tiếng. Một nhà đầu tư mạo hiểm đã mất hơn một triệu đô la Bitcoin và nhận được một tin nhắn: trả tiền đi hoặc chúng tôi nhắm tới gia đình bạn.

Rồi sau đó là sự hỗn loạn ngoài đời. Tiền bạc khiến cậu ngạo mạn, cậu lừa chính những đồng phạm của mình, và rồi chúng xuất hiện ngay ở nhà cậu. Ma túy, băng đảng, có một người bạn bị sát hại. Nhưng bằng cách nào đó, Graham Ivan Clark vẫn bước tiếp tự do. Khi cảnh sát khám xét căn hộ của cậu, họ tìm thấy 400 Bitcoin — gần 4 triệu đô la. Cậu hoàn trả 1 triệu để dàn xếp và đóng vụ án. Cậu mới 17 tuổi. Vì còn chưa đủ tuổi, cậu hợp pháp chỉ giữ phần còn lại.

Đến năm 2020, cậu đã có mục tiêu cuối cùng trước khi tròn 18 tuổi: hack thẳng Twitter. Trong thời gian phong tỏa, nhân viên làm việc từ xa tại nhà. Graham và một thiếu niên khác giả làm bộ phận hỗ trợ kỹ thuật nội bộ, gọi điện cho nhân viên, yêu cầu họ reset thông tin đăng nhập, và gửi cho họ những trang login giả. Hàng chục người đã sập bẫy. Dần dần, chúng leo lên trong hệ thống phân cấp nội bộ cho đến khi tìm được một tài khoản có quyền quản trị toàn diện. Tự nhiên, hai cậu bé đã kiểm soát 130 trong số những tài khoản quyền lực nhất trên thế giới.

Điều đáng chú ý là chúng hoàn toàn có thể khiến thị trường sụp đổ, rò rỉ các tin nhắn riêng tư, gây hoảng loạn trên toàn cầu. Thế nhưng chúng chỉ đòi Bitcoin. Không còn là chuyện tiền bạc — đó là để chứng minh rằng chúng có thể điều khiển “cái loa” lớn nhất hành tinh.

FBI bắt được cậu trong vòng 2 tuần. 30 cáo buộc trọng tội, đối mặt với khả năng 210 năm tù giam. Nhưng cậu đã thương lượng. Vì còn chưa đủ tuổi, cậu phải chịu 3 năm trong trại giam vị thành niên và 3 năm quản chế. Cậu được trả tự do khi 20 tuổi.

Bây giờ, sáu năm sau, tôi nhìn X — nền tảng từng là Twitter — và nó tràn ngập các vụ lừa đảo crypto mỗi ngày. Những kịch bản giống hệt đã làm giàu cho Graham Ivan Clark. Cùng một tâm lý vẫn tiếp tục hoạt động trên hàng triệu người. Thật mỉa mai: cậu bé đã hack Twitter trước khi nó trở thành X, và giờ X lại đầy những chiêu trò giống hệt thứ khiến cậu nổi tiếng.

Thứ mà vụ án này thực sự dạy cho chúng ta là: kẻ lừa đảo không hack hệ thống, chúng hack con người. Đừng tin vào sự thúc ép — doanh nghiệp hợp pháp không yêu cầu thanh toán ngay lập tức. Đừng chia sẻ mã. Đừng cho rằng một tài khoản đã được xác minh là bảo đảm cho sự hợp pháp. Hãy kiểm tra URL trước khi đăng nhập. Kỹ thuật xã hội không phải là kỹ thuật, mà là cảm xúc. Sợ hãi, tham lam, niềm tin — đó vẫn là những điểm yếu dễ bị khai thác nhất hiện nay.

Graham Ivan Clark đã phá vỡ Twitter, nhưng “cuộc hack” thực sự chưa bao giờ nằm ở hệ thống. Nó là tâm lý. Nó đã chứng minh điều mà chúng ta nên nhớ: bạn không cần phải phá bất cứ thứ gì nếu có thể lừa những người đang kiểm soát nó.