L’incredibile storia di un falso sicario, una lista di omicidi, un vigilante della darknet… e un omicidio
Non conoscevo Bryan Njoroge. Non l’avevo mai incontrato, parlato con lui o incontrato online. In circostanze ordinarie, non avrei mai saputo della sua morte, a più di 6.500 chilometri di distanza. Eppure, alla fine di giugno 2018, un messaggio è arrivato nella mia casella di posta elettronica. Il suo oggetto recitava: “Suicidio (o omicidio)?” L’email conteneva un link a una pagina web che mostrava inequivocabilmente che qualcuno voleva Bryan morto.
Il 29 maggio, una persona che si faceva chiamare Toonbib aveva scambiato messaggi con qualcuno che pensava fosse un capo della mafia che affittava sicari sul dark web. Toonbib aveva inviato una foto di Njoroge in un abito, presa da un annuario scolastico, e un indirizzo in Indiana dove Njoroge – un soldato, che di solito risiedeva in una base militare in Kentucky – sarebbe rimasto per qualche giorno. “Sarà in posizione solo dal 01 giugno 2018- 11 giugno”, ha scritto Toonbib. Hanno pagato circa 5.500 dollari in bitcoin per il colpo.
Il giorno dopo, Toonbib ha iniziato a inseguire il presunto capo per una risposta, che ha richiesto ancora un po’ di tempo per arrivare. “Assegnerò un agente al tuo lavoro e sarà fatto in circa una settimana, va bene? Ti risponderò a breve con una data stimata”, scrisse il capo il 1° giugno. Toonbib non ha mai risposto. Il 9 giugno, Bryan Njoroge fu trovato con una ferita d’arma da fuoco fatale alla testa, vicino a un campo da baseball a Clarksville, Indiana. La sua morte è stata registrata come un suicidio.
Non ci sono sicari in questa storia. Non ci sono assassini vestiti in modo elegante che avvitano silenziatori sulle loro Glock, non ci sono agenti assegnati, né capi che li dirigono.
C’è un sito web, però – una successione di siti web, per essere precisi – dove tutte queste cose vengono fatte passare per vere. Alcuni ci cascano. Cercando un killer, scaricano Tor, un browser che utilizza la crittografia e un complesso sistema di trasmissione per garantire l’anonimato, e permette loro di accedere al dark web, dove esiste il sito. Sotto falso nome, gli utenti del sito compilano un modulo per richiedere un omicidio. Gettano centinaia di bitcoin nella borsa digitale del sito web.
L’amministratore del sito li sta truffando: nessun assassinio viene mai eseguito. L’amministratore avrebbe distribuito una valanga di bugie sul perché i colpi erano stati ritardati, e si sarebbe tenuto i bitcoin.
Ma, altrove, qualcuno chiamato Chris Monteiro ha interrotto le operazioni del sito web per anni, scatenando l’ira del suo admin.
Nel 2016, due anni prima di mandarmi la mail su Njoroge, Monteiro era solo un tizio che scriveva wiki. Un uomo alto sulla trentina con folti capelli color zibellino, una barba corta e occhi scuri e profondi, Monteiro è un uomo dagli strani passatempi. Di giorno, lavorava come amministratore di sistemi informatici per una società con sede a Londra; di notte, accendeva un computer desktop a sei schermi nel suo appartamento a sud di Londra e passava ore a scandagliare le profondità di Internet. Si definiva un “ricercatore di crimini informatici e argomenti di nicchia su internet”. Era appassionato di transumanesimo, il movimento basato su internet che sostiene il miglioramento umano e l’immortalità. Faceva discorsi sulla politica della fantascienza, usando un linguaggio un po’ biascicato. Sapeva molto sulle frodi con le carte di credito. Ma la sua passione era il dark web.
Questo era l’ambiente perfetto per i truffatori – impenetrabile ai motori di ricerca e pieno di illegalità. I forum online pullulavano di riferimenti ad IA senzienti in agguato nel dark web, siti web in live-streaming che mostravano persone massacrate in “stanze rosse”, o pagine web oscure che rivelavano il segreto degli Illuminati. “Questa strana frangia di internet è una delle aree più difficili per cercare la verità”, dice Monteiro.
Nel 2015, Monteiro ha iniziato a gestire il subreddit r/deepweb, una prima fila sugli avvenimenti quotidiani del mondo sotterraneo online. Ha documentato le sue scoperte sul suo blog – pirate.london – e sulle enciclopedie online, come Wikipedia e il sito web anti-pseudoscienza RationalWiki. Ha fatto la sua missione di uccidere le leggende metropolitane – ha contribuito agli articoli di Wikipedia sul dark web e sul mercato darknet, e ha creato le pagine di RationalWiki sulle stanze rosse e sulle IA in fuga.
Ha anche scritto l’articolo di RationalWiki sull’assassinio su internet. La voce che si potesse assumere un assassino a contratto sul dark web in cambio di bitcoin era in giro dai primi anni 2010. Questo perché, a differenza dei film snuff e delle IA malvagie, i servizi di killer a pagamento erano onnipresenti sul dark web. Alcuni erano strutturati come “mercati di previsione”, con gli utenti che finanziavano in crowdfunding l’assassinio di VIP e politici; o potevano essere catering per il portatore di rancore privato che voleva prenotare un colpo tramite chat privata.
La ricerca di Monteiro ha suggerito che tutti questi siti web fossero o innocui trolling o truffe progettate per derubare le persone dei loro bitcoin. Non è riuscito a trovare alcuna prova che qualcuno sia mai stato ucciso da un sicario ingaggiato online, né di alcun sicario che lavori online. Ha scritto tutto questo su RationalWiki. Con note a piè di pagina.
Poi, il 20 febbraio 2016, un utente anonimo ha fatto una modifica all’articolo sull’assassinio su internet. La modifica, dice Monteiro, ha aggiunto qualcosa del tipo “tutti i siti di assassinio sono truffe, tranne Besa Mafia, che è reale”, aggiungendo un link a un sito web scuro. (La modifica è stata definitivamente cancellata dagli amministratori di RationalWiki su sollecitazione di Monteiro; ma una successiva modifica dello stesso utente rimane nella storia delle modifiche. “Un altro sito è Besa Mafia, un mercato dove i sicari possono iscriversi per fornire i loro servizi e dove i clienti possono ordinare”, si legge nella modifica. “Il sito protegge i clienti con un servizio di deposito a garanzia che conserva il bitcoin fino a quando il lavoro è completato. Accettano anche escrow esterni”)
Monteiro ha capito che si tratta di autopromozione spudorata. Le persone che gestiscono la Besa Mafia, qualunque cosa fosse, avevano apparentemente vandalizzato il suo pezzo finemente realizzato di wiki-scienza al fine di propagandare il loro sito web di assassinio. “Sono andato, ‘Che cazzo è questa merda?'”, dice. “Questa non è solo una sciocchezza, è qualcuno che promuove una truffa sul mio articolo”.
Ha acceso Tor ed è andato al sito della Besa Mafia. Apparentemente gestito da gangster albanesi (“besa” significa “onore” in albanese), era disseminato di un inglese povero, immagini di stock di manzi armati, e un sistema di pagamento che – lungi dal proteggere il bitcoin dei clienti – permetteva a chiunque gestisse il sito di strappare facilmente i fondi. Ha scritto un’aspra recensione di Besa Mafia sul suo blog, definendola una truffa.
Pochi giorni dopo, qualcuno di Besa Mafia si è messo in contatto. “Helo, io sono uno degli amministratori del sito web di Besa Mafia sul deep web,” si legge nella mail. “Sarebbe possibile per noi pagare per una vera e onesta recensione positiva? Fammi sapere se possiamo dimostrarti che siamo legittimi”. Era firmata “Yura”.
Seguì uno scambio avanti e indietro. Monteiro ha allegramente bombardato Yura con domande, perforando il modello di business del sito, la sicurezza e la composizione tecnica. Per Monteiro, era ovviamente una truffa. Ma, mentre Yura ha riconosciuto le carenze del sito web, ha sostenuto che era legittimo. Ha chiesto a Monteiro di dare a Besa Mafia il beneficio del dubbio. “Siamo aperti ai suggerimenti, faremo del nostro meglio per renderlo il miglior mercato concentrandoci sulla vendetta del danno al corpo e la distruzione della proprietà”, ha scritto Yura.
Come prova, Yura ha offerto di far picchiare qualcuno a scelta di Monteiro. Ha poi proposto di pagare un acconto mensile di 50 dollari per presentare i banner della Besa Mafia sul blog di Monteiro. Quando Monteiro ha rifiutato entrambe le offerte, il tono di Yura è diventato minaccioso. “Sii neutrale sul nostro sito web”, ha scritto. “Se non lo fai, pagheremo qualche freelance a buon mercato per riempire articoli e presentare post e commenti sostenendo che sei un poliziotto sotto copertura”
Monteiro ha pubblicato lo scambio per intero sul suo blog, prendendo in giro Yura e Besa Mafia. Settimane dopo, qualcuno ha lasciato un commento: un link a un video. Iniziava mostrando un foglio A4. “”ang members for besa mafia on deep web”, recitava il foglio. “edicazione a londra pirata, 10 aprile 2016”. Seguirono circa 30 secondi di buio, fruscii e suoni metallici. Infine, la telecamera si voltò verso un’auto bianca, avvolta da fiamme arancioni. Il foglio è stato mostrato di nuovo, a metri di distanza dall’auto in fiamme. Il video sembrava essere una minaccia per chiunque stesse gestendo pirate.london.
Monteiro era inorridito: pensava che questo non fosse il comportamento di un truffatore. I truffatori online ignorano le persone che li chiamano, pensò; non danno fuoco alle auto per difendere la loro reputazione. “Ho iniziato a interrogarmi: avevo fatto incazzare un’organizzazione criminale?”, dice. “In che cazzo mi ero cacciato?”
Il video ha spinto Monteiro a contattare le forze dell’ordine. Alla stazione di polizia di Charing Cross a Londra, ha detto all’ufficiale dietro la scrivania che era un ricercatore di crimini informatici – specializzato in droga, frode e omicidio – e voleva denunciare un assassino della darknet che lo minacciava con video di auto in fiamme. “Volevo solo metterlo a verbale”, ricorda Monteiro.
L’ufficiale era perplesso. Settimane dopo, il caso è stato passato all’unità di cybersicurezza della polizia metropolitana, Falcon Team. Monteiro sostiene che non se ne fece nulla: dice che l’ufficiale disse che l’auto non sembrava essere stata distrutta nel Regno Unito ed era quindi fuori dalla giurisdizione della Met.
Monteiro ha anche tentato di contattare la National Crime Agency (NCA) del Regno Unito – ma, si sarebbe poi reso conto, ha sbagliato l’indirizzo e-mail e il messaggio non è stato consegnato. (L’NCA non invia notifiche di rimbalzo.)
Monteiro ha deciso di esplorare il sito web di Besa Mafia da solo. Ha creato un account cliente, chiamandosi Boaty McBoatFace e ha richiesto un riscontro su una persona immaginaria che ha chiamato Bob il Costruttore. Così facendo, ha individuato un modo per raccogliere informazioni sul sito web: ad ogni messaggio inviato sulla piattaforma è stato assegnato un ID numerico unico. Combinando gli ID dei messaggi con l’url del sito web, Monteiro ha scoperto che poteva leggere i messaggi di ogni altro utente. Sfruttando questa vulnerabilità, ha scaricato l’intero database dei messaggi di Besa Mafia ed ha esaminato il suo archivio.
Sicuramente, Besa Mafia era una truffa. Ogni conversazione seguiva un modello identico. I clienti inviavano i dettagli della persona che volevano uccidere e il metodo che preferivano – per esempio, un colpo che sembrasse un incidente sarebbe stato più costoso. Per dimostrare che avevano i mezzi per pagare, era richiesto loro di fare un trasferimento anticipato di bitcoin in un portafoglio digitale – dal quale, assicurava il sito, i suoi clienti sarebbero stati in grado di ritirare i loro fondi in qualsiasi momento.
Yura avrebbe affermato di agire rapidamente, prima di un periodo di prevaricazione: il killer era stato fermato per una violazione del traffico, o per possesso illegale di una pistola. Si poteva ingaggiare un assassino più professionale, ma questo sarebbe costato più bitcoin. Alcuni clienti hanno continuato a pagare, mentre Yura li portava avanti per mesi. Altri chiesero un rimborso, che non arrivò mai. Yura tenne tutti i bitcoin.
Ma la Besa Mafia era più di una truffa qualsiasi: Monteiro si rese conto che si trattava di una vera e propria operazione di fake news.
Yura dedicò molte energie per difendere la credibilità del sito web. Una persona californiana di nome Thcjohn2 aveva scritto al sito web offrendo i suoi servizi come assassino. “Sono al verde (ovviamente), e sono alla ricerca di denaro rapido”, ha scritto Thcjohn2. “Ho un addestramento militare (US Navy)”. Invece di accettare la sua offerta, Yura aveva chiesto a Thcjohn2 di fare video di auto in fiamme per intimidire Monteiro e altri critici. Poi gli chiese di mettere in scena e filmare un finto omicidio, con l’aiuto di un amico e di una pistola replica. Nei mesi successivi, diversi video di teppisti in passamontagna che sparavano con le pistole e parlavano dei siti web dell’assassinio di Yura sarebbero apparsi online.
Yura aveva anche creato una galassia di micro-siti sul web regolare, che diffondevano la parola sulla Besa Mafia con la scusa di denunciarla. Yura aveva assunto esperti SEO freelance, che avevano ottimizzato i siti per garantire che apparissero per primi nei risultati di ricerca per “killer a noleggio” e combinazioni di parole simili. Uno di questi freelance, un consulente di Kolkata chiamato Santosh Sharma, mi ha detto nel luglio 2018 che Yura – che aveva usato il nome di Andreeab quando trattava con lui – lo aveva pagato in bitcoin. “Era basato in Romania”, ha detto. Sharma dice che non lavora più per Yura.
La strategia di marketing sembrava aver dato i suoi frutti. Dopo aver lavorato attraverso i messaggi di Besa Mafia, Monteiro aveva la prova che aveva ragione sul fatto che il sito era una truffa – ma questa era una piccola consolazione. “Era un’operazione perfettamente funzionante”, dice. “
E c’era un rovescio della medaglia: l’archivio dei messaggi era essenzialmente una kill list – di obiettivi, di conflitti e di istigatori. Di persone che altre persone volevano uccidere. Yura non aveva sicari da impiegare, pensò Monteiro, ma se alcuni clienti del sito avessero deciso di prendere in mano la situazione e uccidere loro stessi il loro obiettivo? Questo archivio potrebbe essere una prova – o addirittura essere usato per prevenire gli omicidi?
“La maggior parte delle truffe non sono pericolose o non presentano persone pericolose”, dice Monteiro. “Se vieni fregato da un ‘principe nigeriano’, non sei pericoloso – solo stupido. Questa truffa era diversa, fondamentalmente diversa, da qualsiasi truffa che avevo visto prima. Le persone che la usano sono le persone pericolose, più che il truffatore stesso. I clienti sono i cattivi.”
Il sito web ha attirato clienti da ogni angolo del mondo. C’erano alcuni troll che inserivano richieste scherzose, ma la maggior parte degli utenti erano seri. Qualcuno voleva che l’amante di sua moglie fosse ucciso, i suoi organi venduti per ottenere uno sconto sul colpo, e la donna stessa contrabbandata in Arabia Saudita; un utente olandese ha pagato 20 bitcoin per avere qualcuno schiacciato in un falso incidente ciclistico; una persona in Minnesota aveva passato quattro mesi a chattare con Yura su come far uccidere una madre di famiglia.
Monteiro si è rivolto per aiuto a un suo amico – uno scammer-baiter che ha adottato il nom de guerre Judge Judy – e insieme hanno creato un programma per raschiare sistematicamente i messaggi di Besa Mafia. Judge Judy era interessato solo a interrompere gli affari di Yura. Monteiro, invece, iniziò a compilare una lista degli utenti più pericolosi, classificati in base a quanto pagavano e a quanto erano determinati a portare a termine l’omicidio. A volte, ha usato le informazioni della corrispondenza per scoprire l’identità degli utenti del sito web; ma ha deciso di non mettersi in contatto con gli obiettivi menzionati nei messaggi, o di far trapelare l’archivio online. “Speravo di lavorare con la polizia, e quello che non volevo essere era un hacker che distrugge le prove”, dice. “E se si fossero resi conto di essere esposti, e si fossero nascosti?”
Dice che ha cercato di coinvolgere la polizia – di nuovo, con poco successo. Sostiene che il Met lo ha indirizzato alla NCA, che non ha risposto alle sue chiamate o messaggi; l’Ufficio Nazionale per la Sicurezza Antiterrorismo ha detto che la questione era fuori dalla sua giurisdizione; l’FBI gli ha suggerito di parlare con la NCA.
Il 3 luglio 2016, Monteiro e il giudice Judy hanno lanciato “Operazione Vegetale”. Era il terzo hacking che Besa Mafia aveva subito in quattro mesi. Sarebbe stato anche quello finale – e decisivo.
A fine aprile 2016, un hacker noto come bRspd aveva infettato il sito web caricando un file maligno al posto della foto di un obiettivo. In questo modo, l’hacker si è impadronito dell’archivio dei messaggi del sito, dei suoi ID utente, delle password, delle password del server e delle email degli amministratori; poi ha scaricato il tutto su internet. L’hack – insieme a un secondo attacco quasi identico che bRspd ha effettuato a giugno – ha messo in moto diversi eventi.
Yura ha rassicurato i suoi clienti che la perdita non era un grosso problema. “Non siamo una truffa. Non ci sono bitcoin persi. Il nostro sito web è stato violato, ma gli hacker hanno ottenuto solo informazioni su alcuni utenti”, ha scritto Yura in un messaggio a un cliente. “Non hanno rubato nessun bitcoin”. Nel frattempo, ha iniziato a lanciare un nuovo sito web con un nuovo marchio.
Alcuni media hanno coperto la perdita e Monteiro ha rilasciato interviste sulla questione – qualcosa che, col senno di poi, ha messo il suo nome sul radar di Yura.
Insieme al giudice Judy, Monteiro ha pianificato di costruire sul lavoro di bRspd per far cadere Yura per sempre. Usando le informazioni dal dump di bRspd, i due sono riusciti ad entrare nel sito web; Monteiro ha anche ottenuto l’accesso alla Gmail di Yura. Lì, ha curiosato nella corrispondenza dell’amministratore. Ha trovato email in cui Yura parlava di comprare un corso d’inglese di cui aveva bisogno, messaggi ai freelance sulla pubblicità e sui siti shill, e dati sui pagamenti in bitcoin. Combinando queste informazioni con il contenuto dei due leak di bRspd, il duo ha ottenuto le chiavi crittografiche che controllano l’accesso al dominio del sito web di Besa Mafia. “Io e il mio amico abbiamo detto: ‘Bene, sembra che abbiamo l’accesso'”, spiega Monteiro. “
Non c’era un piano a lungo termine o una logica complessa dietro la decisione. “Volevo solo interrompere l’operazione”, dice Monteiro. “Era anche una vendetta personale. Posso parlare del bene superiore… ma è personale. Sono molte cose – la mia attenzione individuale si sposta di giorno in giorno.”
Monteiro descrive “Operazione Vegetale”, come una missione attentamente pianificata in stile “Ocean’s Eleven”. Hanno copiato tutti i contenuti di Besa Mafia – e li hanno salvati, dice Monteiro, con l’intenzione di darli alla polizia – e hanno chiuso il sito web, reindirizzando gli utenti a un sito che avevano costruito. La nuova pagina mostrava l’immagine di una porta chiusa e arrugginita. Sotto il logo della Besa Mafia, hanno lasciato un messaggio:
“Besa Mafia ha chiuso per affari
Dopo 6 mesi di truffe ai criminali per i loro bitcoin e rubando oltre 100 BTC ($ 65.000) il sito ha chiuso
Nessuno è stato mai picchiato o ucciso”
In sottofondo, il sito ha suonato quel motivo da The Sound of Music, “So long, farewell, auf Wiedersehen, goodbye”.
A casa di Monteiro, lui e il giudice Judy stapparono una bottiglia di champagne.
Mentre le fake news fioriscono, i fact-checkers del Regno Unito si stanno rivolgendo all’automazione per competere
Long Reads
Mentre le fake news fioriscono, i fact-checkers del Regno Unito si stanno rivolgendo all’automazione per competere
Le prove del primo omicidio legato alla Besa Mafia sono emerse poco dopo l’incontro di Monteiro con due agenti di polizia e sette mesi dopo lo smantellamento della Besa Mafia.
Nel gennaio 2017, Monteiro è riuscito a stabilire un contatto con la NCA attraverso un amico che conosceva qualcuno nell’unità di intelligence dell’organizzazione. Dopo alcuni scambi di e-mail con un operativo – che non ha usato il suo vero nome – Monteiro è stato invitato per un incontro riservato nel centro di Londra.
Per più di un’ora, Monteiro ha raccontato agli agenti il materiale in cui si era imbattuto dopo essere penetrato nel sistema di messaggistica del sito web – aspiranti raccoglitori di organi, richieste di mutilazione, persone che aspirano a commettere matricidi. Suggerì di dire agli obiettivi cosa stava succedendo e segnalò che Yura, imperterrito dal fiasco di Besa, stava ora operando un nuovo mercato di assassini, chiamato Crime Bay. Usava lo stesso codice sorgente di Besa Mafia, che convenientemente ha permesso a Monteiro di continuare a leggere la corrispondenza del sito.
Monteiro sostiene che gli ufficiali hanno detto che sarebbero stati di nuovo in contatto per un passaggio di informazioni, ma non gli hanno chiesto di mostrare loro i dati che aveva portato alla riunione, che erano sul suo computer portatile. L’unico documento che hanno consultato era una stampa A3 su cui Monteiro aveva riassunto la complessità delle operazioni di Besa Mafia.
In parte linea temporale, in parte elenco, in parte diagramma di flusso, il documento comprendeva una ripartizione dei vari hack e dumps che il sito aveva subito, e anche una top 10 degli utenti più pericolosi del sito – in un formato completamente wikificato. Sempre il wikipediano, Monteiro aveva iniziato a strutturare il suo tesoro di informazioni relative alla mafia di Besa in un BesaWiki protetto da password. Uno degli utenti “più ricercati” sull’A3 di Monteiro era qualcuno che si chiamava Dogdaygod.
Dogdaygod inviò il primo messaggio a Yura nel febbraio 2016. Era desideroso di uccidere una donna che viveva a Cottage Grove, Minnesota. Era di larghe vedute sul metodo – inizialmente spingeva per un hit-and-run, o uno scontro deliberato nel traffico, ma più tardi suggerì sistemi più rudimentali, come sparare al bersaglio e bruciare la sua casa.
Dogdaygod ha mostrato una virulenta animosità verso il suo obiettivo. “Ho bisogno che questa puttana muoia, quindi per favore aiutatemi”, ha scritto. Yura lo aveva incoraggiato: “Sì, è davvero una stronza e merita di morire”. La conversazione è andata avanti per mesi, giungendo a una brusca conclusione quando Dogdaygod – stanco dei pretesti sempre più implausibili di Yura sul perché il colpo non fosse stato eseguito – ha chiesto un rimborso.
“Purtroppo, questo sito è stato violato”, aveva risposto l’amministratore. Aveva finto di essere l’hacker, sperando di impedire a Dogdaygod di tormentarlo e di fare qualche soldo di nascosto. “Abbiamo ottenuto tutte le informazioni sui clienti e sugli obiettivi e le invieremo alle forze dell’ordine, a meno che tu non invii 10 bitcoin”, aveva scritto. Questo è successo il 20 maggio 2016.
Il 31 maggio 2016, circa un mese dopo la fuga di notizie di bRspd, l’FBI ha contattato Amy Allwine, una donna che vive all’indirizzo del Minnesota che Dogdaygod aveva inviato a Besa Mafia. Amy e suo marito Stephen Allwine – uno specialista IT e un diacono in una chiesa locale – hanno incontrato gli agenti che li hanno informati che qualcuno aveva pagato almeno 6.000 dollari sul dark web per uccidere Amy. Gli Allwine hanno detto di non avere idea di chi potrebbe nascondersi dietro il personaggio Dogdaygod.
Sei mesi dopo, Amy Allwine era morta. Il 13 novembre, suo marito chiamò il 911 e disse di aver trovato il suo corpo nella sua camera da letto. “Penso che mia moglie si sia sparata”, disse all’operatore.
Tuttavia, la polizia trovò prove che collegavano Stephen Allwine all’omicidio: tracce di transazioni bitcoin sui suoi dispositivi, cookie per siti web legati al dark web, il fatto che Dogdaygod aveva cercato di comprare l’anestetico scopolamina sulla darknet – e che alte dosi della sostanza erano state trovate nell’organismo di Amy.
Nel gennaio 2017 Allwine – alias Dogdaygod – è stato accusato dell’omicidio della moglie. In tribunale, i pubblici ministeri hanno indicato una serie di relazioni – e il fatto che Stephen fosse l’unico beneficiario della polizza assicurativa sulla vita di Amy da 700.000 dollari – come probabili motivi. Allwine è stato trovato colpevole e condannato all’ergastolo nel febbraio 2018.
Monteiro dice che era devastato quando Allwine fu arrestato. Fino a quel momento, l’idea che avrebbe potuto salvare delle vite – che la lista delle uccisioni che aveva cercato freneticamente di consegnare alle forze dell’ordine avesse un potere portentoso – era stata essenzialmente un esperimento di pensiero.
“Avevo pensato: ‘Beh, queste sono persone orribili, terribili, che, se non le arresti, forse prenderanno la situazione nelle loro mani'”, dice. “Pensavo che fosse un’ipotesi. Ma poi è successo davvero”. Ha mandato un messaggio al suo contatto della NCA riguardo agli sviluppi; l’ufficiale lo ha rassicurato che avrebbero esaminato la questione con urgenza.
Sono passate settimane. Un venerdì sera di inizio febbraio, Monteiro era a casa a sorseggiare zuppa di zucca davanti ai sei schermi incandescenti del suo computer. La sua scrivania era cosparsa di oggetti di geek: un pulsante rosso in stile autodistruzione; un Bulbasaur di peluche; una parodia della “guida per l’utente Maybot”. Monteiro camminava attraverso il suo salotto dal tappeto beige, verso la porta d’ingresso: aveva sentito uno strano rumore. Pochi secondi dopo, un ariete rosso sfondò la porta bianca e dei poliziotti armati si precipitarono dentro. Hanno spinto Monteiro contro il muro e lo hanno ammanettato. Sequestrando il suo computer, hanno fatto delle foto della stanza e gli hanno chiesto le password dei suoi dispositivi. Dopo circa 15 minuti, hanno messo Monteiro nel retro di un furgone e lo hanno portato alla stazione di polizia più vicina.
Alla stazione, un ufficiale dell’NCA gli ha detto che era stato arrestato per incitamento all’omicidio, in relazione alla mafia Besa.
Sembra che Monteiro sia stato arrestato sulla base di una campagna di disinformazione.
C’erano stati segnali d’allarme per un po’, almeno dal punto in cui Yura aveva minacciato di smascherarlo come poliziotto. Nel giugno 2016, quando Monteiro ha violato l’account Gmail di Yura, aveva notato che il truffatore aveva creato indirizzi email sotto il nome di Chris Monteiro e Eileen Ormsby, una giornalista australiana che aveva anche scritto sulla mafia Besa.
Nei mesi successivi, Yura aveva incaricato il suo dettaglio di freelance di creare siti web che vendessero notizie false sul coinvolgimento di Ormsby e Monteiro nel mercato degli assassini. Erano blog WordPress, non eccessivamente sofisticati, ma forti del SEO. Alcuni avevano apparentemente attirato l’attenzione dell’NCA: la domanda per il mandato di perquisizione dell’appartamento di Monteiro faceva riferimento a uno di questi blog come prova.
“Open source reporting shows that Chris MONTEIRO and two other subjects created the Hit Man for Hire website ‘Besa Mafia’ on the Dark Web https://hackeddatabaseofbesamafia.wordpress.com/,” si legge nel documento.
Era imperativo perquisire la casa di Monteiro, continuava la richiesta del mandato, perché, come presunto amministratore del sito, poteva essere in possesso di più dati sulle vittime e prove criminali.
Monteiro ha passato quasi due giorni in una suite di custodia, lavorando su se stesso, camminando nella cella e sfogliando l’unico libro su cui poteva mettere le mani – un’autobiografia di un golfista.
Nel corso di diversi colloqui con gli agenti che lo avevano arrestato, Monteiro ha capito che gli agenti dell’NCA con cui aveva parlato alcune settimane prima non avevano detto ai loro colleghi che stava collaborando con loro – e che, lungi dall’essere complice di Yura, sosteneva di essere la sua nemesi autoproclamata. Monteiro dice che, non conoscendo il nome completo del suo contatto NCA e non avendo accesso ai suoi dispositivi mentre era in custodia, non ha potuto provare immediatamente i suoi rapporti con l’agenzia.
Per Monteiro, gli interrogatori sono stati un mix di gaffe e commedia nera. Ha dovuto spiegare la storia di Boaty McBoatFace che ha preso un colpo a Bob the Builder. A un certo punto, la persona che lo interrogava ha chiesto a Monteiro di una copia del videogioco stealth Hitman trovata nel suo appartamento, insinuando che avrebbe potuto essere un’ispirazione per Besa Mafia.
Alla fine, Monteiro riuscì a spiegare agli agenti che avrebbero dovuto guardare il BesaWiki sul suo computer. Lì, avrebbero trovato tutto ciò di cui avevano bisogno: nomi dei bersagli, messaggi, dati sui pagamenti in bitcoin, IP dei server e informazioni su come eseguire il backdoor del sito web Crime Bay. A mezzanotte, domenica 5 febbraio, Monteiro è stato rilasciato su cauzione.
Tornò al suo appartamento e intuì che avrebbe dovuto cambiare il telaio della porta. Monteiro rimase a casa del giudice Judy quella notte. Hanno suonato la canzone degli N.W.A. “Fuck tha Police”.
Nel giugno 2017, la polizia ha informato l’avvocato di Monteiro che non sarebbero state prese ulteriori misure.
Una volta costruivi un muro per tenerli fuori, ma ora gli hacker ti stanno distruggendo dall’interno
Long Reads
Una volta costruivi un muro per tenerli fuori, ma ora gli hacker ti stanno distruggendo dall’interno
Poco dopo, la NCA ha lanciato un’operazione internazionale. Hanno rintracciato diversi utenti di Besa Mafia e li hanno accusati di associazione a delinquere.
Nel marzo 2017, hanno arrestato David Crichton, un medico britannico che aveva ordinato un colpo al suo ex consulente finanziario. Crichton non ha pagato il sito web, però, e in seguito ha detto di aver messo l’ordine solo per frustrazione; Crichton è stato scagionato da ogni illecito nel luglio 2018. Un altro utente di Crime Bay in Danimarca, una donna di origine italiana chiamata Emanuela Consortini, è stata arrestata grazie a una soffiata della NCA e poi condannata a sei anni di carcere per aver commissionato l’omicidio di un ex fidanzato. Il sito web Crime Bay è stato infine chiuso dall’NCA e dalla polizia bulgara nel maggio 2017 e Monteiro ha supposto che Yura fosse stato trovato e incarcerato. Monteiro ha smesso di fare ricerche sulla questione.
Poi, nel dicembre 2017, ha ricevuto una e-mail da Yura. Il truffatore ha accusato Monteiro di essere immorale: la sua esposizione di Besa Mafia come una truffa avrebbe potuto indurre gli utenti a smettere di sprecare tempo e risorse sul sito web e uccidere i loro obiettivi da soli. Ha chiamato Monteiro il vero assassino di Amy Allwine. “Come fa Yura a mandarmi email?”, pensò Monteiro. “Come fa a non essere in prigione?”
La piena portata della situazione è emersa all’inizio del 2018 quando 48 Hours della CBS ha avvicinato Monteiro riguardo al caso Allwine. Volevano intervistarlo sul suo incontro con Yura.
Mentre si preparava all’intervista, Monteiro scoprì che Yura aveva lanciato un nuovo sito web, Cosa Nostra, e adottato un nuovo personaggio – il capo italiano “Barbosa”. L’exploit di Monteiro funzionava ancora e poteva leggere tutti i messaggi tra Yura/Barbosa e i suoi clienti, proprio come faceva nel 2016.
Per qualche tempo, Monteiro ha intrattenuto l’ipotesi che il nuovo sito potesse essere un’esca della polizia. Ma sembrava improbabile: quando Monteiro ha iniziato a fornire alla CBS dettagli sulle conversazioni di Cosa Nostra, sarebbe sempre stata la successiva soffiata della CBS alla polizia locale a far scattare indagini e arresti. “Ho iniziato a rendermi conto che la gente veniva arrestata direttamente come risultato delle informazioni che fornivo”, dice. Le soffiate della CBS hanno portato ad arresti a Singapore, Illinois e Texas. Quando Monteiro mi ha passato alcuni documenti sui clienti nel Regno Unito, ho inoltrato i dettagli alle stazioni di polizia di Edimburgo e Oxfordshire.
Monteiro ha provato di nuovo a passare la questione alla polizia. Il suo avvocato mandò un’email all’NCA, raccontando delle trame omicide ordite sul sito web di Yura, che veniva continuamente ridenominato – Cosa Nostra, Sicari Siciliani, Sicari della Camorra, Ndrangheta, Yakuza Mafia, Bratva Mafia. Attraverso il suo avvocato, l’ANC ha consigliato a Monteiro di chiamare la loro hotline per denunciare possibili reati; lo hanno messo in guardia sull’uso di mezzi illeciti per accedere alla corrispondenza dei mercati degli assassini.
“La minaccia posta dai cosiddetti mercati degli assassini sarà piuttosto piccola in confronto ad altre cose di cui ci occupiamo”, mi ha detto un portavoce della NCA. “Non stiamo monitorando il sito web, non ci sono stati arresti. Tuttavia, lavoriamo a stretto contatto con i nostri partner internazionali delle forze dell’ordine per condividere informazioni e intelligence”, ha aggiunto in seguito un secondo portavoce.
Questo lascia Monteiro bloccato con la lista e un apparente forte impulso ad agire, inviando i casi più plausibili ai media. “Voglio creare un po’ di scalpore su questa cosa”, dice Monteiro. “Egoisticamente, voglio fare dei discorsi, e usarlo come una piattaforma per fare ulteriore pressione sulla polizia”. Ma sente anche di avere il dovere di provare ad agire sulle informazioni che recupera. “Non posso fermarmi perché c’è la vita delle persone a rischio. Immagina di aver guardato in una scatola e che l’atto di guardare in quella scatola ti abbia cambiato. Puoi scegliere di non guardare in quella scatola. Ma sai che qualcosa continuerà ad accadere: la scatola è piena di orrori. Dovresti guardare? Non dovresti guardare?”.
Monteiro continua a cercare. Ha impostato avvisi su Google per il nome di ogni obiettivo – nel caso in cui gli succeda qualcosa, anche se le autorità sono state allertate. È così che ha individuato la notizia di Bryan Njoroge in un locale dell’Indiana, il News and Tribune.
Secondo i rapporti della polizia di Clarksville, l’8 giugno, Njoroge, un texano di 21 anni in licenza dalla base di Fort Knox, ha rubato una pistola da un poligono di tiro, American Shooters, nel nord-ovest della città. Njoroge è stato trovato morto nelle prime ore del 9 giugno, a faccia in giù sotto le scale di un box per annunciatori in un campo da baseball. Il medico legale ha rapidamente stabilito che era morto per una ferita d’arma da fuoco autoinflitta. Il caso è stato chiuso in pochi giorni.
Chi ha ordinato il colpo sul sito web della truffa di Yura sapeva che Bryan sarebbe stato in Indiana in quei giorni; più precisamente, sapeva che sarebbe stato in uno specifico Airbnb, il cui indirizzo era incluso nelle istruzioni dell’ordine. Il padre di Njoroge, Samwel, mi ha confermato che suo figlio aveva prenotato quell’Airbnb.
“Abbiamo chiuso il caso”, mi ha detto in agosto il detective Ray Hall, responsabile delle indagini della polizia di Clarksville. Disse che aveva già ricevuto una soffiata sulla conversazione di Toonbib e che tuttavia non aveva trovato “nessuna prova concreta” di qualcosa di diverso da un suicidio.
Samwel Njoroge mi disse che la polizia non aveva mai menzionato il mercato degli assassini quando parlava con lui del caso. Non era contento di come era stata investigata la morte di suo figlio, sottolineando quelle che pensava fossero incongruenze tra il rapporto del caso che descriveva la scoperta del corpo e l’autopsia, e sottolineando che il proiettile fatale non è mai stato trovato. (Un patologo forense mi ha detto che i proiettili spesso non vengono recuperati nei casi di suicidio.)
Samwel ha aggiunto che il computer di Bryan, la macchina fotografica e due telefoni sono spariti, il che è strano, dato che Bryan – una piccola celebrità di Instagram e YouTube – era inseparabile dai suoi dispositivi. Ha anche menzionato che suo figlio aveva una polizza di assicurazione sulla vita di 400.000 dollari; Njoroge aveva cambiato il beneficiario – designando un’amica al posto dei suoi genitori – appena un mese prima di morire.
Samwel ha detto di non sapere se qualcun altro avrebbe potuto viaggiare con Bryan, o sapere del suo viaggio in Indiana.
Sappiamo poco di Yura: lui (tutti quelli con cui ho parlato che hanno interagito con Yura credono che sia un uomo) si vanta di aver fatto un sacco di soldi – il che è possibile, soprattutto alla luce dell’impennata del prezzo del bitcoin dello scorso anno; sostiene di essere albanese, ma il ricordo di Santosh Sharma e l’analisi IP di Monteiro dei commenti di Yura su wiki lo collegano alla Romania; Eileen Ormsby, che ha avuto più conversazioni e-mail con lui, ritiene che Yura sia probabilmente sulla ventina.
Forse la domanda più interessante, però, è se Yura, alias Barbosa, sia un informatore della polizia. Certamente cerca di presentarsi come uno dei buoni. Quando ci siamo scambiati le email mi ha implorato di non dire che il suo sito era una truffa.
“Se intendi denunciare le truffe dei sicari, ti stai fondamentalmente schierando con questi potenziali assassini, aiutandoli ad evitare truffe e trappole e aiutandoli a trovare altri mezzi per uccidere”, ha scritto Yura/Barbosa. “È un diritto morale truffare i criminali e gli assassini se questo aiuta a salvare le vittime”.
Ha firmato i suoi messaggi “Barbosa, Lifesaver”.
La sua difesa è che lui è un ostacolo ai piani dei potenziali assassini, derubandoli di tempo prezioso e denaro. Più significativamente, ha detto che stava dando tutte le informazioni sull’obiettivo alla polizia, e ha sostenuto che ha lavorato con l’FBI.
“Dopo che Besa Mafia è stata violata, un agente dell’FBI ha parlato con me in chat sul posto. Mi ha detto che non vogliono arrestarmi, non stanno cercando me, vogliono arrestare gli assassini”, ha scritto Yura/Barbosa. “A loro non interessa un truffatore. Si preoccupano degli assassini”.
Yura ha rifiutato di fornire le prove delle sue comunicazioni con l’FBI, in quanto ciò proverebbe che il suo sito è una truffa. Supplicandomi di non riferirlo, si è offerto di consegnare i nomi di tutti gli obiettivi. Alla fine ha detto che avrebbe negato di aver mai parlato con me se avessi scritto che la sua attività era una truffa.
Quello che Yura ha detto era un misto di fatti, fatti e bugie. È vero che Yura ha passato informazioni ai giornalisti che lo avvicinavano per stabilire le sue credenziali di truffatore di buon cuore: ha consegnato due casi alla CBS, che poi li ha girati alla polizia, facendo scattare indagini e arresti.
E alcune conversazioni nel dump di bRspd mostrano che Yura ha avuto contatti con qualcuno che sostiene di lavorare per l’ufficio di Dallas dell’FBI già nel 2016. L’FBI ha rifiutato di confermare o negare se avesse mai lavorato con Yura.
Altre cose che Yura dice non sono vere. Sostiene di non aver mai condonato la violenza, ma ci sono prove del suo tentativo di fare pressione su Thcjohn2, l’aspirante sicario, per commettere un’aggressione – che apparentemente non si è mai concretizzata.
Il suo racconto complessivo di essere un killer-baiter in armatura scintillante non regge. bRspd, l’hacker che nel 2016 si è introdotto due volte nel sito web di Besa Mafia, mi ha detto in chat privata di aver avvicinato Yura per trasformare Besa Mafia in un vero e proprio honeypot per i criminali. “Stavo cercando di lavorare con lui rendendo il sito web migliore e più sicuro e invece di truffare potremmo davvero aiutare le persone a identificare questi criminali e ecc raccogliendo più dati & NON rubando i soldi delle persone”, ha scritto bRspd a settembre.
Secondo bRspd, Yura ha rifiutato. “Era solo assetato di soldi”, mi ha detto bRspd. “È un gran bugiardo, non gli interessa altro che il denaro. Quasi tutte le conversazioni che ho avuto con lui includevano la parola ‘soldi’ o .” Secondo l’analisi di Monteiro dei portafogli bitcoin di Besa Mafia, Yura potrebbe aver accumulato quasi 5 milioni di sterline.
bRspd ha aggiunto che l’idea che Yura stesse lavorando con la polizia era – almeno dal 2016 – “totalmente falsa”.
In generale, però, Yura ha ragione? Senza la sua truffa, alcune vite sarebbero state a rischio e alcune persone che tramano omicidi sarebbero ancora in giro. Senza Yura, né Monteiro né le forze dell’ordine né i giornalisti avrebbero mai sentito parlare di Stephen “Dogdaydog” Allwine in Minnesota, dell’uomo a Singapore o della donna in Danimarca. L’avidità, la tenacia e la strategia SEO di Yura avevano involontariamente creato uno strumento per percepire le intenzioni degli aspiranti criminali.
Ho posto la domanda a Monteiro davanti a una birra in un pub di Londra. Yura stava fornendo un servizio alla comunità?
La questione, sosteneva Monteiro, si riduceva a un dibattito filosofico tra virtù e consequenzialismo. Yura potrebbe sostenere che il suo sito web è stato utilizzato per imprigionare i criminali. Ma lo stava facendo incitando all’omicidio, incoraggiando i criminali e diffondendo bugie – sui sicari, su altre persone e sul dark web.
L’intera saga Besa Mafia sorry, dice Monteiro, è iniziata perché voleva ripulire la sfera pubblica dalle bugie. “Mi sono proposto di eliminare le notizie false. Volevo spiegare il dark web, stabilire fatti e finzione, spiegare cosa è reale e cosa non lo è”, dice. “Questo è il mio scopo superiore – sai?”
Aggiornato il 05.12.2018, 10.13 GMT: Questo articolo è stato modificato per correggere una data nella corrispondenza di Toonbib: Barbosa ha risposto il 1 giugno, non il 6 giugno.
Altre grandi storie da WIRED
– Come la metropolitana di Londra sarà carbon neutral entro il 2050
– Un gigante dell’energia offrirà all-you-can-mangiare elettricità nel 2019
– Le cose quotidiane che puoi fare per prevenire il cambiamento climatico
– Dentro la macchina segreta dell’esercito britannico per la guerra dell’informazione
Prendi il meglio di WIRED nella tua casella di posta ogni sabato con la newsletter WIRED Weekender