刚刚掉进了关于史上最疯狂黑客事件之一的荒诞深渊。你可能还记得2020年7月15日——当时Twitter几乎是字面意义上“崩了”。每个经过验证的账户都在发布同一句话：汇出Bitcoin，拿回双倍返还。Elon、Obama、Bezos、Apple——全部被攻破。$110K 比特币在数小时内被掏空。全球一片混乱。

但让我震惊的是：这并不是某个精英的俄罗斯网络犯罪分子所为。甚至都算不上什么复杂的攻击。只是一个来自佛罗里达、17岁、穷得叮当响的少年，名叫Graham Ivan Clark；他带着一台笔记本、一部手机，几乎完全不知恐惧。

这孩子并没有去破解代码。他是在欺骗人。起初很小——在Minecraft上行骗，偷走游戏内物品。当YouTuber试图揭露他时，他为了报复黑进了他们的频道。到了15岁，他已经深陷于OGUsers——一个臭名昭著的黑客论坛。但他的“武器”并不技术化——而是纯粹的社交工程。

后来他发现了SIM交换。基本上就是说服电话运营商的员工，把其他人的号码控制权交到他手里。于是他突然就能访问别人的邮箱、加密钱包和银行账户。一位风险投资家醒来发现，自己超过$1M 比特币不见了。小偷甚至直接发短信回去威胁：付钱，不然我们就来找你家人。

这笔钱让Graham变得难以撼动。或者说，他曾经这么以为。他线下的生活开始失控——吸毒、帮派关系、甚至真的出现了暴力。有个朋友被枪击了。但他却竟然以某种方式还能逍遥法外。

然后就是“大事件”。在COVID封锁期间，Twitter员工都在远程办公。Graham和另一个孩子假扮成内部技术支持。他们给员工打电话，发来虚假的登录页面。他们一路攀爬内部层级，直到找到那个“上帝模式”账号——唯一能在整个平台上重置任意密码的账号。两个十几岁的少年，突然就控制了世界上130个最强大的账户。

FBI在两周内就抓到了他。30项重罪指控。最高可判210年。但因为他是未成年人，Graham Ivan Clark只在少年监狱服刑了3年。他在17岁时搞垮了Twitter。他在20岁时就自由了。

真正让我反感的是：他现在出来了。富有了。自由了。而X平台上每天都被同样的加密诈骗淹没。那套能骗倒全世界的心理机制，依旧能继续在数以百万计的人身上奏效。

真正的教训是什么？骗子不需要破解系统——他们只需要操控人心。永远别相信紧迫感。永远别分享代码。不要相信“已验证”的账户。始终检查URL。因为最大的漏洞不在代码里，而在人性里。

Graham Ivan Clark证明了这一点：如果你能骗到那些在管理系统的人，你就根本不需要去破解系统。