Một thiếu niên 17 tuổi ở Florida đã dùng một cuộc gọi để hack Twitter như thế nào

Vào ngày 15 tháng 7 năm 2020, Twitter bị tấn công. Các tài khoản của Elon Musk, Jeff Bezos, Barack Obama cùng lúc đăng tải thông điệp: "Chuyển cho tôi 1000 BTC, tôi sẽ gửi lại 2000."

Có vẻ như là một trò đùa, nhưng không phải — Twitter đã bị xâm nhập. Trong vòng nửa giờ, hacker đã lừa đảo lấy đi 110.000 USD Bitcoin. Đây là lần đầu tiên Twitter khóa toàn bộ các tài khoản xác thực trên toàn cầu.

Người đứng sau không phải là tổ chức hacker hàng đầu, mà là một cậu bé 17 tuổi không nổi tiếng, không giàu có tên là Graham Clark.

Anh ta không viết một dòng mã nào. Thay vào đó, anh ta dùng phương pháp xã hội — gọi điện cho nhân viên Twitter, giả vờ là bộ phận hỗ trợ CNTT nội bộ, yêu cầu "đặt lại đăng nhập", và nhân viên đã mở cửa. Trong số hàng chục nhân viên bị lừa, anh ta từng bước xâm nhập hệ thống, tìm ra tài khoản "chế độ Thượng đế". Đột nhiên, hai thiếu niên kiểm soát 130 tài khoản có ảnh hưởng nhất thế giới.

Điều điên rồ hơn là, trước đó cậu ta còn thực hiện lừa đảo chuyển đổi SIM, trộm hơn 1 triệu USD Bitcoin của một quản lý quỹ đầu tư mạo hiểm. Cảnh sát phát hiện trong phòng của cậu ta có 400 BTC. Vì còn vị thành niên, cậu ta bị tuyên án 3 năm tù vị thành niên cộng thêm 3 năm án treo. Ra tù ở tuổi 20, tiền không bị tịch thu.

Trớ trêu thay, hiện nay X (tên mới của Twitter) mỗi ngày đều tràn ngập các vụ lừa đảo bằng tiền mã hóa kiểu này. Graham đã chứng minh một điều: **Bạn không cần phải phá hệ thống, chỉ cần lừa người quản lý nó.**

Vũ khí cốt lõi của xã hội là con người, chứ không phải công nghệ — cảm giác cấp bách, tham lam, lòng tin. Đó là lý do tại sao các vụ lừa đảo luôn có thị trường.