有這個故事每次想起來都讓我震驚不已。一個來自坦帕（Tampa）的 17 歲少年。沒有駭客犯罪集團。沒有俄羅斯的精英團隊。只有一個身無分文的青少年，手上有手機、筆記型電腦，以及敢去完成史上最瘋狂的社交工程駭客之一的膽量。這就是 Graham Ivan Clark 的真實故事——以及他幾乎把人性本身給駭了。

2020 年 7 月 15 日。我記得當時親眼目睹這一切正在實時發生。Elon Musk 的帳號。Obama。Bezos。Apple。甚至連 Biden 都在發佈同一件事：把我 1,000 美元的 Bitcoin 給我，我就回傳你 2,000 美元。起初大家都以為這是某種精心設計的玩笑。但事實並非如此。推文是直播的。Twitter 完全被攻破了。有人擁有「神模式」（god-mode）等同於控制權，能操作平台上最有力的那些聲音。

幾分鐘內，超過 110,000 美元的 Bitcoin 就打進了由攻擊者控制的錢包。幾小時內，Twitter 封鎖了全球所有已驗證帳號——這件事字面上從來沒有發生過。而策劃這一切的幕後黑手？不是什麼地下室裡的陰影人物。就是 Graham Ivan Clark。一個青少年。

接下來就更黑暗了。Graham 沒有在什麼科技樞紐長大。佛羅里達州坦帕（Tampa）。支離破碎的家庭。沒錢。當其他孩子只是在玩遊戲時，他早就已經在 Minecraft 裡跑詐騙——交朋友、賣給對方假的道具、騙走他們的錢，然後消失無蹤。當 YouTuber 試圖揭露他時，他就為了報復而駭入他們的頻道。那時我才意識到，對他而言這不只是為了錢。這是為了掌控。欺騙成了他的母語。

到 15 歲時，他已經深陷在 OGUsers——這個臭名昭著的駭客論壇，裡頭的人會交易被偷走的社群媒體帳號。但重點是：Graham Ivan Clark 不需要成為什麼寫程式的天才。他是個社交工程師。純粹的心理操控。他會用魅力、壓力、操弄——只要能奏效的方式都用。

後來他發現了 SIM 交換（SIM swapping）。到 16 歲時，他已經掌握了。基本上就是說服電信公司員工，讓他把別人的手機號碼控制權轉移到自己手上。就一個小把戲而已。就足以用來存取某人的電子郵件、加密貨幣錢包、銀行帳戶——全部都能拿到。他不再只是偷取帳號名稱（username）。他是在偷走人生。

其中一位受害者是一位名叫 Greg Bennett 的風險投資家。某天早上醒來，發現超過 $1 百萬美元的 Bitcoin 不見了。當他試圖聯絡攻擊者時，他們回了他一則訊息：付錢，不然我們會去找你家人。這就是我們說的那種冷酷無情。

但金錢讓 Graham Ivan Clark 變得魯莽。他開始詐騙自己那些駭客夥伴。他們揭露他的身分。跑到他家找他。線下的生活開始失控——毒品交易、幫派連結、整片混亂。某筆交易出了差錯。他的朋友被槍殺致死。他聲稱自己是無辜的，卻又在某種程度上再次走脫了。

2019 年。警方突襲了他的公寓。他們找到 400 Bitcoin——將近 $4 百萬美元。他進行協商。把 $1 百萬美元交回去，說是為了「結案」。他當時 17 歲。因為他是未成年人，他把剩下的時間都依法轉為少年矯正與緩刑。他曾經贏過一次制度。他還沒結束。

到 2020 年，Graham Ivan Clark 在滿 18 歲前還有最後一個目標：駭進 Twitter 本身。COVID 的封鎖讓 Twitter 的員工都改在家工作。遠端登入。使用個人裝置。他和另一名十幾歲的共犯假裝成內部技術支援。他打電話給員工，告訴他們需要重設登入憑證，並寄給他們假的公司登入頁面。很多人都中了招。

一步一步地，他們爬上了 Twitter 的內部層級，直到找到了——一個「God mode」（神模式）帳號。只有一個面板，但能重設整個平台上的任何密碼。兩名十幾歲的青少年突然就掌控了世界上 130 個最強大的帳號。

7 月 15 日晚上 8 點，推文發出。整個網路安靜下來。已驗證帳號全部被鎖定。名人們開始慌張。駭客本來可以讓市場崩潰、外洩私人訊息、散播假的戰爭警報、竊走數十億美元。可是他們沒有。他們只是去「種」Bitcoin（挖/累積）。這不再是關於錢了。這是為了證明他們能掌控網路上最大的擴音器。

FBI 用 2 週就把他追到了。IP 紀錄。Discord 訊息。SIM 資料。Graham Ivan Clark 面臨 30 項重罪指控——身分竊取、電匯詐欺、未經授權的電腦存取。最高可判 210 年監禁。但他達成了一筆交易。因為他是未成年人，他只服了 3 年少年羈押，以及 3 年緩刑。17 歲時駭遍全世界。20 歲時就自由了。

如今，他出來了。自由了。很有錢。而真正諷刺、也最讓我睡不著的，是：Twitter 早就變成 X 了，每一天都被各種加密貨幣詐騙淹沒。就是那套讓 Graham 發了財的詐騙。就是那套騙過全世界的手法。就是那些至今仍能對數百萬人奏效的心理弱點。

真正的教訓是什麼？像 Graham Ivan Clark 這樣的詐騙犯，不是駭系統——他們駭的是人。他們利用情緒。恐懼。貪婪。信任。這些才是實際上最重要的弱點。永遠別相信「緊迫感」。永遠不要分享憑證。不要以為已驗證帳號就安全。登入前一定要檢查 URL。社交工程不是技術問題——它是心理問題。

Graham Ivan Clark 證明了一件殘酷的事：如果你能騙過那些在運行制度的人，你根本不需要破壞制度。那個仍然迴盪人心的駭法就是這個。