你有没有注意到，最大的黑客攻击并不在于代码？它们在于人。最近我一直在读格雷厄姆·伊万·克拉克（Graham Ivan Clark）的故事，说实话，他的经历几乎就是在用事实证明：安全表演为何会失败。

先想象一下：2020年7月15日。你在刷推特（Twitter），突然之间，埃隆·马斯克、奥巴马、贝索斯、苹果——基本上你信任的每一个经过认证的账号——全都发布了同样的内容：转账比特币，就能双倍返还。听起来像个烂梗，对吧？可这是真的。推文是实时滚动的，而且在$110K 比特币就这么立刻消失在了钱包里。

不过真正让我震惊的是：这并不是某个顶级的俄罗斯行动。也不是一次多么高明的网络攻击。格雷厄姆·伊万·克拉克当时只有17岁——从坦帕来的穷小子，带着一台笔记本电脑和一部手机，仅此而已。

最疯狂的是？他根本没破解任何代码。他在COVID封锁期间打电话给推特员工，假装自己是内部技术支持人员，给他们发假的登录页面。社会工程学——纯粹的心理操作。数十名员工之所以中招，是因为压力感是真实的，紧迫感是真实的，权威感也是真实的。

很快，这两个少年就获得了一个“上帝模式”账号。一个页面可以重置该平台上的任何密码。于是，他们突然就掌控了地球上最强大的130个账号。

但接下来，格雷厄姆·伊万·克拉克的故事就更阴暗了。在推特之前，他从16岁开始就已经在进行SIM卡交换——说服电话公司把别人的号码转交出来，掏空加密钱包，偷走数百万资金。一位风险投资家醒来时发现：自己的比特币已经不见了。当受害者试图联系对方时，对方回的那句话让人不寒而栗：付钱，否则我们会对你家人下手。

这些钱让他变得鲁莽。他连自己的合作伙伴都骗。他的敌人甚至找上了他家。他的线下生活开始失控：毒品、帮派牵连、混乱不断。一位朋友遭到枪击。他声称自己无辜。随后他又一次获得自由。

然后是2019年——警方突击搜查他的公寓。他们发现了400 BTC，价值接近400万美元。因为他还是未成年人，他归还了$1M ，合法地保留了剩下的。也就是说，他确实是“赢过了系统”。

把时间快进到现在。格雷厄姆·伊万·克拉克在少年监狱服刑了3年，20岁出狱，已经自由了。很有钱。讽刺的是：X（推特）上充斥着完全相同的骗局——正是这些骗局让他发了财。SIM卡交换、假认证、制造紧迫感的套路——它们仍然能在数百万人身上奏效。

那么教训是什么？骗子并不是在“破解系统”，他们是在“破解人”。他们利用恐惧、贪婪和信任。而这，永远都是真正的脆弱点。

格雷厄姆·伊万·克拉克证明了一件残酷的事：你不需要成为顶级黑客，只要你能骗过运行系统的人就行。坦白说，这比任何零日漏洞都更令人不安。因为心理学根本不需要补丁。