Il 17enne che ha hackerato Twitter

Capire chi sia dietro ai grandi attacchi informatici non è sempre facile, e richiede a volte mesi o anni di lavoro. Il caso della grande truffa informatica che il 15 luglio ha coinvolto alcuni degli account Twitter più seguiti del mondo sembra però essere stato risolto in poco più di 15 giorni, con l’arresto venerdì scorso di Graham Ivan Clark: un 17enne che si manteneva da alcuni anni con truffe online, accumulando una piccola fortuna. Parlando con chi lo aveva conosciuto e scavando tra le tracce della sua vita online, il New York Times ha provato a raccontare chi sia Clark e come da solo e senza particolari abilità informatiche sia riuscito a violare una delle più famose piattaforme online, mostrandone la grande fragilità.

La truffa su Twitter era cominciata quando in Italia era la notte tra il 15 e il 16 luglio. Quando poche ore dopo era stata bloccata dagli esperti di sicurezza informatica del social network, aveva già fruttato ai suoi organizzatori circa 120.000 dollari. Decine di account tra i più seguiti al mondo – quelli di Barack Obama, Elon Musk, Jeff Bezos e Bill Gates, per esempio – avevano pubblicato messaggi che invitavano gli utenti a versare soldi su un conto, promettendo che quei soldi sarebbero stati donati in beneficenza e che chi li avesse inviati ne avrebbe ricevuti in cambio il doppio.

Quegli account, è stato poi ricostruito, erano finiti sotto il controllo dei truffatori: non attraverso la sottrazione delle loro password bensì attraverso i sistemi di controllo di Twitter. Se invece dei soldi i truffatori avessero voluto ottenere altro avrebbero probabilmente potuto causare danni molto maggiori; tuttavia dietro l’attacco non c’era – come accaduto nel recente passato – un gruppo di sofisticati hacker sostenuti dalla Russia, dalla Cina o dalla Corea del Nord: bensì un gruppo di adolescenti che almeno inizialmente sembrava solo interessato a prendere il controllo di account Twitter con nomi particolarmente ambiti.

Secondo le autorità federali statunitensi, il leader del gruppo era Clark, un hacker non particolarmente abile o famoso e che negli anni si era fatto notare principalmente per aver rubato piccole somme con truffe che si sviluppavano intorno ad alcuni videogiochi molto popolari tra gli adolescenti, come Minecraft e Fortnite. Il New York Times ha ricostruito alcune di queste piccole truffe, in cui Clark fingeva di voler vendere ad altri giocatori degli accessori per i loro personaggi per poi scomparire poco dopo aver ricevuto i soldi. Si parla di cifre spesso molto basse, 50 o 100 dollari, ma Clark era poi entrato in un giro di hacker più abili, passando a truffe più sofisticate, tra cui quelle note come “SIM swapping”.

Se gli hacker riescono a prendere il controllo della SIM del telefono di qualcuno – clonandola, di fatto, e ricevendo quindi su una SIM in loro possesso i messaggi e le chiamate indirizzate a quel numero – possono usarla come sistema per accedere ai profili online associati a quella SIM, attraverso le funzioni per resettare le password. Clark aveva usato questo sistema per ottenere il controllo di account sui social network con nomi interessanti, in modo da poterli poi rivendere per centinaia o migliaia di dollari o per chiedere un riscatto. In almeno un caso, sembra che nel 2019 Clark fosse riuscito a prendere il controllo della SIM di un investitore di Seattle, prelevando dal suo conto 164 Bitcoin – la più popolare tra le criptovalute – per un valore di quasi 900.000 dollari. Parte dei soldi erano poi stati recuperati dalle autorità e restituiti, ma secondo il New York Times Clark non era stato arrestato e incriminato perché era minorenne.

Sembra che Clark si fosse molto spaventato quando nel 2019 le autorità erano arrivate a lui per la faccenda dei Bitcoin rubati, e che questo gli avesse fatto riconsiderare la possibilità di dedicarsi ad attività legali. Poco dopo, però, aveva cominciato a progettare la grande truffa su Twitter del 15 luglio scorso.

Violare i sistemi di sicurezza di una piattaforma come Twitter, tra le più usate al mondo, non è una cosa facile e può richiedere grande abilità informatica. Clark, come ha confermato Twitter stessa, è riuscito a farlo in modo piuttosto semplice. Con l’invio di messaggi contraffatti ad alcuni dipendenti di Twitter (il cosiddetto phishing), Clark era riuscito ad ottenere dati sufficienti per entrare nei sistemi della società e, da lì, arrivare alle persone che avevano le credenziali necessarie per accedere al sistema da cui si possono controllare le impostazioni degli account. Twitter ha detto che per farlo Clark ha «ingannato alcuni dipendenti e sfruttato debolezze umane». Il New York Times ha scritto che Clark era riuscito ad accedere a una chat interna dei dipendenti di Twitter e da lì aveva ottenuto le credenziali che gli occorrevano.

Inizialmente la truffa avrebbe dovuto essere in qualche modo simile a quelle condotte con lo “SIM swapping”. A un gruppo di quattro altre persone – altri hacker adolescenti di non particolare valore – Clark aveva spiegato il suo piano per prendere il controllo di account Twitter per poi rivenderli. I suoi complici, per la maggior parte, si erano occupati di questo aspetto del piano: trovare persone interessate a particolari account e organizzare le trattative con loro. Non si parlava di account di persone popolari, ma di account marginali, ma con nomi che a qualcuno sarebbero potuti interessare.

Il 15 luglio, dopo aver inizialmente partecipato alla vendita di alcuni account come stabilito con i suoi complici, Clark aveva però cominciato a pubblicare i messaggi che chiedevano di versare Bitcoin su un conto a lui collegato, riuscendo a ingannare moltissime persone e raccogliendo in poche ore decine di migliaia di dollari. Tra i 45 account che Clark aveva violato c’erano anche quelli del candidato del Partito Democratico alla presidenza degli Stati Uniti, Joe Biden, quelli di celebrità come Kim Kardashian e Kanye West, e quelli di società come Apple e Uber.

Sembra che di questa parte del piano i suoi complici sapessero poco o niente. Loro stessi, il 17 luglio, si sono messi in contatto con il New York Times per spiegare anonimamente come erano andate le cose e provare a prendere le distanze da quella che in poche ore era diventata una delle principali notizie sui giornali di mezzo mondo.

Che la truffa non fosse stato il lavoro di un gruppo di hacker particolarmente abili era comunque sembrato chiaro quasi da subito alla maggior parte degli esperti di informatica, stupiti anzi che gli hacker si fossero limitati a chiedere soldi senza fare danni più gravi. Clark e i suoi complici, inoltre, avevano commesso una serie di grosse leggerezze che hanno permesso alle autorità di ricostruire con facilità le loro identità digitali e reali. In una settimana gli investigatori federali erano arrivati a casa dei primi complici di Clark, che è stato arrestato il 31 luglio nell’appartamento dove viveva a Tampa, in Florida.

– Leggi anche: Il disastro Twitter poteva andare molto peggio

Clark – che era cresciuto a Tampa con la sorella e la madre – viveva da solo e aveva accumulato circa 3 milioni di dollari in Bitcoin. A scuola, ha raccontato chi lo aveva conosciuto, era svogliato e non aveva molti amici; i vicini di casa lo hanno descritto come un tipo solitario, che usciva e rientrava in casa a orari strani e irregolari, guidando una BMW bianca. Contro di lui sono stati formulati 30 capi di imputazione ed è stata stabilità una cauzione di 725.000 dollari: sei volte quello che è accusato di aver ottenuto tramite la truffa di metà aprile. Con accuse meno gravi sono stati arrestati anche i suoi complici.