剛剛又在讀關於 Graham Ivan Clark 的故事，說實話，這個故事依然讓人感受到不同的震撼。一個來自坦帕的17歲少年，居然在疫情期間闖入 Twitter 的大門，並掌控了全球最大喇叭。不靠什麼精英黑客集團或零日漏洞，只靠社交工程和膽識。

讓我特別在意的是：這次駭客行動本身並不是最精彩的部分。真正重要的是它的運作方式。Graham Ivan Clark 並沒有破解程式碼——他是破解人心。他和同夥假扮在家工作的 Twitter 員工，冒充內部技術支援，誘使他們點擊假冒的登入頁面。就這樣。整個過程就這麼簡單。幾個小時內，他們就取得了包括 Elon Musk、Obama、Bezos、Apple 在內的130個驗證帳號的控制權。

那條推文很簡單：「Send BTC, get double back」（寄送比特幣，獲得雙倍回報）。幾分鐘內，超過11萬美元的比特幣湧入他們的錢包。Twitter 被迫關閉全球所有驗證帳號——這在以前從未發生過。

但最瘋狂的是：這個少年早在這之前就已經在騙局中摸爬滾打。15歲時，他就在 OGUsers 上交易被盜帳號。16歲時，他掌握了 SIM 交換技術——說服電信公司員工交出他人手機號碼，這基本上等於取得一切的存取權：電子郵件、加密貨幣錢包、銀行帳戶。有一位風險投資家醒來時，發現超過100萬美元的比特幣不見了。

他的生活從此開始失控。幫派關係、毒品、暴力。他在2019年被突襲搜查，發現他公寓裡藏有400個比特幣。他談判，退還了100萬美元以「結束案件」，由於他是未成年人，法律上他保留了剩下的部分。他當時才17歲，已經一次打破了系統。

接著就是 Twitter 和 FBI 的追蹤。他們用兩週時間追蹤他——IP記錄、Discord訊息、SIM卡資料。30項重罪指控，最高可判210年監禁。但交易很簡單：判處3年少年拘留，3年緩刑。他在駭入世界時只有17歲，走出來時已經20歲。

如今他已經出來了。富有、無法觸及。而諷刺的是：在 Elon 的 X 上，每天都充斥著加密詐騙。讓 Graham Ivan Clark 變得富有的心理策略，依然在數百萬人身上奏效。

真正的教訓不是關於駭客技術，而是人性。騙子不是破解系統——他們是破解人心。他們利用緊迫感、貪婪、信任與恐懼。這也是為什麼驗證帳號比隨機帳號更容易被冒充的原因。也為什麼人們仍然會相信 SIM 交換。也為什麼有人會把比特幣寄到明顯是詐騙的帳號。

技術安全從來不是弱點。真正的弱點一直是人。Graham Ivan Clark 證明，你不需要成為天才程式設計師，就能攻陷地球上最強大的平台。你只需要明白：人類才是真正的漏洞。而這，才是讓你真正感到害怕的部分。