Ф'ючерси
Сотні безстрокових контрактів
TradFi
Золото
Одна платформа для світових активів
Опціони
Hot
Торгівля ванільними опціонами європейського зразка
Єдиний рахунок
Максимізуйте ефективність вашого капіталу
Демо торгівля
Запуск ф'ючерсів
Підготуйтеся до ф’ючерсної торгівлі
Ф'ючерсні події
Заробляйте, беручи участь в подіях
Демо торгівля
Використовуйте віртуальні кошти для безризикової торгівлі
Запуск
CandyDrop
Збирайте цукерки, щоб заробити аірдропи
Launchpool
Швидкий стейкінг, заробляйте нові токени
HODLer Airdrop
Утримуйте GT і отримуйте масові аірдропи безкоштовно
Launchpad
Будьте першими в наступному великому проекту токенів
Alpha Поінти
Ончейн-торгівля та аірдропи
Ф'ючерсні бали
Заробляйте фʼючерсні бали та отримуйте аірдроп-винагороди
Інвестиції
Simple Earn
Заробляйте відсотки за допомогою неактивних токенів
Автоінвестування
Автоматичне інвестування на регулярній основі
Подвійні інвестиції
Прибуток від волатильності ринку
Soft Staking
Earn rewards with flexible staking
Криптопозика
0 Fees
Заставте одну криптовалюту, щоб позичити іншу
Центр кредитування
Єдиний центр кредитування
Центр багатства VIP
Преміальні плани зростання капіталу
Управління приватним капіталом
Розподіл преміальних активів
Квантовий фонд
Квантові стратегії найвищого рівня
Стейкінг
Стейкайте криптовалюту, щоб заробляти на продуктах PoS
Розумне кредитне плече
New
Кредитне плече без ліквідації
Випуск GUSD
Мінтинг GUSD для прибутку RWA
Як Грем Іван Кларк виявив критичну вразливість безпеки Twitter через соціальну інженерію
15 липня 2020 року в реальному часі розгорівся один із найзначущіших інцидентів у сфері безпеки Інтернету. Але це не було про складний код або експлойти нульового дня. Замість цього йшлося про Грема Івана Кларка, 17-річного хлопця, який показав, як одна людина може зламати одну з найпотужніших платформ для комунікацій у світі, краще розуміючи людську психологію, ніж її захисники розуміли власну інфраструктуру.
Що зробило атаку Грема Івана Кларка унікальною — це не технічна майстерність, а психологічна маніпуляція. Поки експерти з кібербезпеки зациклюються на фаєрволах і шифруванні, цей інцидент довів, що найслабше місце будь-якої системи безпеки — це людина, яка відповідає на телефон.
Прихована вразливість Twitter: віддалена робота під час пандемії
У середині 2020 року команда інженерів Twitter повністю перейшла на віддалену роботу. Тисячі співробітників входили у систему з дому, використовуючи особисті пристрої та домашні інтернет-з’єднання. Модель безпеки компанії, побудована навколо фізичної офісної інфраструктури та ізоляції внутрішньої мережі, раптово стала застарілою.
Грем Іван Кларк виявив важливу річ: внутрішні адміністративні системи Twitter все ще покладалися на застарілі протоколи верифікації через телефон. У поєднанні з культурною зміною безпеки через пандемію це створило ідеальний шторм.
Атака не почалася з складного хакерського злома. Вона почалася з телефонного дзвінка. Грем Кларк і його спільник видавали себе за внутрішніх ІТ-підтримувачів. Вони контактували з працівниками Twitter, стверджуючи, що потрібно «перевірити логін» для оновлення системи. Використовуючи прості соціальні інженерні тактики — створення штучної терміновості, звернення до корпоративної влади та плутанини через розподілену команду — вони залишили слід доступу.
Мистецтво соціальної інженерії: як Грем Кларк піднявся по ієрархії Twitter
Соціальна інженерія успішна, бо вона експлуатує довіру, а не технології. Грем Іван Кларк розумів, що корпоративні ієрархії створюють передбачувані шаблони послуху й відповідності.
Зловмисники створили фальшиві цільові сторінки, що імітували внутрішні портали входу Twitter із приголомшливою точністю. Вони надсилали їх співробітникам через підроблені внутрішні канали зв’язку. Дюжини з них повірили — не через дурість, а тому, що вони слідували легітимним корпоративним процедурам.
З кожним зламаним обліковим записом рівень доступу Грема Кларка зростав. Він не просто збирав імена користувачів; він піднімався по внутрішній структурі дозволів Twitter. Внутрішні підрядники, технічна підтримка, інженери — кожен рівень відкривав нові області доступу.
Нарешті, він досяг того, що інженери Twitter називали «Боже режим» — панелі адміністратора, яка могла скинути паролі будь-якого облікового запису платформи. З доступом до цієї панелі два підлітки контролювали долю 130 найвідоміших і найвпливовіших акаунтів у світі.
Спільна афера з Bitcoin: 110 000 доларів за кілька хвилин
О 20:00 15 липня 2020 року з’явилися твіти від підтверджених акаунтів Елон Маск, Барак Обама, Джефф Безос, Apple і Джо Байден:
Це здавалося абсурдним. Але акаунти були підтверджені. Пости — перевірені. Математика подвоєння грошей здавалася безглуздою, але людська психологія — жадібність, FOMO, довіра до значків верифікації — перевищила раціональне мислення.
За кілька хвилин понад 110 000 доларів у Bitcoin потрапили до гаманців, контрольованих Гремом Іваном Кларком і його спільником. За кілька годин Twitter ухвалив безпрецедентне рішення: вони заблокували всі підтверджені акаунти по всьому світу. Жоден підтверджений акаунт не міг нічого публікувати. Ця надзвичайна міра, вперше застосована в історії Twitter, сигналізувала про серйозність зламу.
Спільнота криптовалют спостерігала у реальному часі, як їхні найнадійніші голоси мовчать. Інцидент відкрив ще одну вразливість: більшість людей не довіряють безпеці платформи, вони довіряють значку верифікації. Грем Кларк прекрасно це розумів.
Арешт: Грем Іван Кларк постає перед судом
ФБР у найкоротші терміни мобілізувало свою кібердиспансер. Те, що Грему Івану Кларку знадобилося місяців для планування, розплутали федеральні слідчі за два тижні.
Форензійний слід був всебічним: повідомлення у Discord, IP-логи з перших фішингових листів, записи телефонних дзвінків із операціями SIM-замін, записи транзакцій криптовалюти, що прямо вказували на його гаманці. ФБР не потрібно було розшифровувати загадкові хакерські повідомлення; зловмисники були приголомшливо недбалими у своїх цифрових слідах.
Обвинувачі пред’явили Грему Івану Кларку 30 кримінальних звинувачень: несанкціонований доступ до комп’ютерів, крадіжка особистих даних, шахрайство з переказами та змова. Потенційне покарання — до 210 років у федеральній в’язниці.
Але система правосуддя застосувала інший підхід до 17-річного. Грем був неповнолітнім. Хоча його злочини мали федеральний масштаб і їхній вплив був глобальним, ювенальне законодавство створювало незвичайні захисти.
Він уклав угоду про визнання провини: три роки у виправній установі для неповнолітніх, з подальшою трирічною умовною. Він був 17 років, коли зламав Twitter. Йому було 20, коли він вийшов на свободу.
Наслідки: Грем Іван Кларк і збережена модель
Сьогодні Грем Іван Кларк перебуває у дивній правовій і соціальній позиції. Він — засуджений злочинець із неповнолітнім записом, який згодом буде закритий. Він багатий через свої злочини. Він здобув рівень відомості, що робить його впізнаваним у певних колах кіберзлочинності.
Тим часом платформа, яку він зламав — Twitter, тепер переіменована на X під керівництвом Ілона Маска — щодня стикається з хвилями шахрайств із криптовалютою. Ті самі соціальні інженерні тактики, що зробили Грема Івана Кларка багатим, досі працюють на мільйони користувачів щодня. Значок верифікації, незважаючи на уроки з 2020 року, залишається психологічною вразливістю.
Іронія глибока: Грем Іван Кларк відкрив одну з найяскравіших слабкостей технологій. Але основна проблема — розрив між інфраструктурою безпеки та людською довірою — досі залишається нерозв’язаною.
Захист від соціальної інженерії: що навчив випадок Грема Івана Кларка
Злом, організований Гремом Іваном Кларком і його спільником, показує, що технологічні рішення самі по собі не здатні захистити від людської маніпуляції. Ось принципи захисту, що випливають із цього випадку:
Перевіряйте через незалежні канали. Коли хтось, хто претендує на роль ІТ-підтримки, телефонує з терміновими проханнями, повісіть слухавку і зателефонуйте на головну гарячу лінію компанії, використовуючи номер, який ви самі перевірили. Реальні технічні проблеми не вимагають негайної зміни паролів по телефону.
Розумійте психологію терміновості. Мошенники та соціальні інженери навмисно стискають час. Вони створюють штучні дедлайни. Л legitимні корпоративні процеси рідко вимагають миттєвих дій. Успіх Грема Кларка полягав у тому, щоб змусити співробітників відчувати, що вони беруть участь у звичайних процедурах безпеки.
Розпізнавайте, що значки верифікації створюють хибну безпеку. Система верифікації Twitter випадково навчила мільйони, що синій значок — це повна довіра. Грем Кларк перетворив цю ілюзію на зброю.
Правильно впроваджуйте багатофакторну аутентифікацію. Сучасні MFA-системи не повинні покладатися на номери телефонів як другий фактор, якщо їх можна перехопити через SIM-заміну.
Розумійте, що найскладніші атаки часто виглядають простими. Грем Іван Кларк не використовував складне шкідливе програмне забезпечення або експлойти нульового дня. Він застосовував телефонні дзвінки і фальшиві сторінки входу. Найнебезпечніші атаки часто виглядають звичайними, бо вони створені для того, щоб зливатися з рутинними корпоративними операціями.
Злом Twitter у 2020 році навчив нас однієї головної істини: безпека — це не технологічна проблема, а людська. Ви можете шифрувати дані, оновлювати системи і встановлювати фаєрволи, але якщо хтось зможе переконати втомленого працівника, що він — частина ІТ-відділу компанії, всі ці технічні заходи стають безсилими.
Ось у чому полягає справжня вразливість соціальної інженерії. І доки організації не почнуть приділяти людській безпеці стільки ж уваги, скільки й технічним заходам, люди на кшталт Грема Івана Кларка й далі доводитимуть, що найпотужніші інструменти для зламу найзахищеніших систем світу — це телефон, впевненість і розуміння людської природи.