我刚刚读到一个最疯狂的黑客故事，老实说，至今仍然让我震惊到头脑发懵。事情是这样的：有个孩子——Graham Ivan Clark——他在2020年就真的入侵了 Twitter，而且所有人都没想到。不是某种俄罗斯网络战行动，也不是躲在暗处机房里的顶级黑客。就只是一个在佛罗里达州坦帕市、身无分文的17岁少年，手里有一台笔记本电脑和一部手机。

让我把这到底是怎么发生的讲清楚。2020年7月15日，经过验证的 Twitter 账号开始发布同一条信息——Elon Musk、Obama、Bezos、Biden、Apple——全部都是。他们都在发：“给我$1,000的比特币，我会把$2,000原封不动地还给你。”一开始大家都以为这是个玩笑，对吧？但这不是玩笑。推文是真的。平台被彻底攻破。

几分钟之内，超过$110,000的比特币就涌入了由 Graham Ivan Clark 以及他的同伙掌控的钱包。Twitter 不得不在全球范围内关闭所有经过验证的账号——这件事在此前从未发生过。最离谱的地方？策划这一切的人居然还是个未成年人。

事情变得更黑暗了。Graham 一开始根本不是从 Twitter 入手的。他从小就在 Minecraft 上搞诈骗，在论坛上倒卖被盗来的社交媒体账号，还会黑掉 YouTuber 频道。到15岁时，他已经深陷于臭名昭著的黑客社区 OGUsers。他不需要编程能力——他靠的是心理战：魅力、施压、社会工程学。

16岁时，他掌握了 SIM 卡交换。这就是你说服电话运营商的员工，把别人的电话号码控制权交到你手里。听起来简单，但这让他得以接管他人的电子邮件、加密货币钱包和银行账户。他盯上的是高知名度的加密投资者，其中包括风险投资人 Greg Bennett——后者损失了超过$1,000,000的比特币。当 Greg 试图联系对方时，得到的回复让人不寒而栗：“付钱，否则我们会找上你家人。”

钱让 Graham 变得狂妄自大。他开始诈骗自己的同伙。那些人把他曝光了，还直接找上门。他的生活彻底失控——有帮派牵连，有毒品交易。一个朋友被枪杀。到2019年，警方突袭了他的公寓，发现价值近$4 million 的 400 Bitcoin。他把一串$1M 归还了出去，居然就这样走脱了。他还是未成年人，所以剩下的部分他可以在法律上继续保留。

接下来是最终一步。在 COVID 封锁期间，Twitter 员工都在家远程办公。Graham Ivan Clark 和另一个少年假扮成内部技术支持。他们给员工打电话，发送伪造的登录页面。几十个人都上当了。他们一路爬到 Twitter 的内部层级，直到找到一个“上帝模式（God mode）”账号——那个可以在平台上重置任何密码的唯一面板。两个孩子就这样突然控制了世界上最强大的130个账号。

FBI 在两周内就抓到了他——靠的是 IP 日志和 Discord 消息。他面对 30 项重罪指控，最高可判 210 年。但因为他是未成年人，他只在少年监狱服了 3 年，再加 3 年缓刑。到20岁时，他已经自由了。

现在讽刺的一点在于——Graham Ivan Clark 如今在外面逍遥富有、难以被追究。他在 Twitter 还没变成 X 之前就已经入侵了它。如今，X 上充斥着跟当年让他发家致富的同一套加密骗局：同样的套路、同样的心理战——依然能对数以百万计的人奏效。

真正的教训是什么？像 Graham 这样的黑客并不是在破坏系统——他们是在破坏人。永远不要轻信“紧迫感”，永远不要分享任何代码，不要假设经过验证的账号一定安全，所有链接都要亲自核对。社会工程学从来不是关于代码，而是关于情绪。恐惧、贪婪与信任，仍然是地球上最容易被利用的漏洞。Graham Ivan Clark 用事实证明：你不需要破解系统，只要能骗过那些在操控系统的人就够了。