Het ongelooflijke verhaal van een nep huurmoordenaar, een dodenlijst, een darknet burgerwacht… en een moord

Ik kende Bryan Njoroge niet. Ik had hem nooit ontmoet, met hem gesproken, of hem online ontmoet. Onder normale omstandigheden zou ik nooit van zijn dood hebben gehoord, meer dan 6.500 kilometer verderop. Toch kwam er eind juni 2018 een bericht binnen in mijn inbox. Het onderwerp luidde: “Zelfmoord (of Moord)?” De e-mail bevatte een link naar een webpagina waaruit ondubbelzinnig bleek dat iemand Bryan dood wilde.

Op 29 mei had een persoon die zichzelf Toonbib noemde berichten uitgewisseld met iemand van wie ze dachten dat het een maffia-capo was die huurmoordenaars huurde op het dark web. Toonbib had een foto gestuurd van Njoroge in een pak, gelicht uit een schooljaarboek, en een adres in Indiana waar Njoroge – een soldaat, die gewoonlijk verbleef op een militaire basis in Kentucky – voor een paar dagen zou verblijven. “Hij zal alleen op locatie zijn van 01 juni 2018- 11 juni,” schreef Toonbib. Ze betaalden ongeveer $5.500 in bitcoin voor de hit.

De dag erna begon Toonbib de vermoedelijke capo te achtervolgen voor een antwoord, dat nog even op zich liet wachten. “Ik zal een medewerker toewijzen aan je klus en het zal over ongeveer een week klaar zijn, is dat goed? Ik neem binnenkort contact met u op met een geschatte datum,” schreef de capo op 1 juni. Toonbib heeft nooit geantwoord. Op 9 juni werd Bryan Njoroge gevonden met een fatale schotwond in zijn hoofd, vlakbij een honkbalveld in Clarksville, Indiana. Zijn dood werd geregistreerd als zelfmoord.

Er zijn geen huurmoordenaars in dit verhaal. Er zijn geen scherp geklede moordenaars die geluiddempers op hun Glocks schroeven, geen toegewezen agenten, noch capo’s die hen leiden.

Er is echter een website, een opeenvolging van websites, om precies te zijn, waar al die dingen voor waar worden gehouden. Sommige mensen trappen erin. Op zoek naar een huurmoordenaar downloaden ze Tor, een browser die gebruik maakt van encryptie en een complex relaysysteem om anonimiteit te garanderen, en die hen toegang geeft tot het dark web, waar de website bestaat. Onder valse namen vullen de gebruikers van de website een formulier in om een moord aan te vragen. Ze gooien honderden bitcoins in de digitale portemonnee van de website.

De admin van de website licht hen op: er wordt nooit een moord uitgevoerd. De admin zou een hagel van leugens uitdelen waarom hits waren vertraagd, en de bitcoins houden.

Maar, iemand genaamd Chris Monteiro verstoort al jaren de website, en wekt de woede van de admin.

In 2016, twee jaar voordat hij me de e-mail over Njoroge stuurde, was Monteiro gewoon een man die wiki’s schreef. Monteiro is een lange man van in de dertig met dik haar, een korte baard en donkere ogen. Overdag werkte hij als computersysteembeheerder voor een Londens bedrijf; ’s avonds zette hij in zijn flat in Zuid-Londen een desktopcomputer met zes schermen aan en spendeerde hij uren om het internet te doorzoeken. Hij noemde zichzelf een “cybercriminaliteit en niche topic internet onderzoeker”. Hij hield zich bezig met transhumanisme, de op internet gebaseerde beweging die pleit voor menselijke verbetering en onsterfelijkheid. Hij hield voordrachten over de politiek van sci-fi, met een ietwat onduidelijk geklets. Hij wist veel over fraude met creditcards. Maar zijn passie was het duistere web.

Dit was de perfecte omgeving voor oplichters – ondoordringbaar voor zoekmachines en vol met illegaliteit. Online forums krioelden van verwijzingen naar intelligente AI’s die op de loer lagen in het dark web, live-streaming websites waarop te zien was hoe mensen werden afgeslacht in “rode kamers”, of dark web pagina’s die het geheim onthulden van de Illuminati. “Deze vreemde marge van het internet is een van de moeilijkste gebieden om de waarheid te vinden,” zegt Monteiro.

In 2015 begon Monteiro met het runnen van de r/deepweb subreddit, een front row op de dagelijkse gebeurtenissen van de online netherworld. Hij documenteerde zijn bevindingen op zijn blog – pirate.london – en op online encyclopedieën, zoals Wikipedia en anti-pseudowetenschap website RationalWiki. Hij maakte het tot zijn missie om urban legends om zeep te helpen – hij droeg bij aan Wikipedia’s artikelen over het dark web en de darknet markt, en creëerde RationalWiki’s pagina’s over red rooms en op hol geslagen AI’s.

Hij schreef ook het artikel van RationalWiki over internetmoordenaars. Het gerucht dat je op het dark web een huurmoordenaar kon inhuren in ruil voor bitcoin ging al sinds begin jaren 2010. Dat kwam omdat, in tegenstelling tot snuff movies en kwaadaardige AI’s, huurmoordenaars alomtegenwoordig waren op het dark web. Sommige waren gestructureerd als “voorspellingsmarkten”, met gebruikers die de moord op VIP’s en politici crowdfunden; of ze konden zich richten op de particuliere wrok-drager die een hit wilde boeken via privé-chat.

Monteiro’s onderzoek suggereerde dat al dergelijke websites ofwel onschuldige trollen waren, ofwel oplichterij die was ontworpen om mensen van hun bitcoins te beroven. Hij kon geen bewijs vinden dat er ooit iemand was vermoord door een huurmoordenaar die online was ingehuurd, noch dat er een huurmoordenaar online werkte. Hij schreef dit allemaal op RationalWiki. Met voetnoten.

Toen, op 20 februari 2016, maakte een anonieme gebruiker een bewerking aan het internetmoordenaarsartikel. De bewerking, zegt Monteiro, voegde iets toe in de trant van “alle moordsites zijn oplichterij, behalve Besa Maffia, die echt is”, met als bijlage een link naar een dark web site. (De bewerking werd permanent verwijderd door de admins van RationalWiki op aandringen van Monteiro; maar een latere wijziging door dezelfde gebruiker blijft in de bewerkingsgeschiedenis staan. “Een andere site is Besa Mafia, een marktplaats waar huurmoordenaars zich kunnen aanmelden om hun diensten aan te bieden en waar klanten kunnen bestellen,” luidde de bewerking. “De site beschermt de klanten met een escrow service die de bitcoin opslaat tot de klus is geklaard. Ze accepteren ook externe escrows.”)

Monteiro begreep dat dit schaamteloze zelfpromotie was. De mensen die Besa Maffia runnen, wat dat ook was, hadden schijnbaar zijn fijnbewerkte stukje wiki-scholarship vernield om reclame te maken voor hun moordwebsite. “Ik dacht: ‘Wat is dit voor onzin?’,” zegt hij. “Dit is niet alleen onzin, het is iemand die een zwendel promoot op mijn artikel.”

Hij startte Tor en ging naar de Besa Maffia website. Ogenschijnlijk gerund door Albanese gangsters (“besa” is Albanees voor “eer”), was het bezaaid met slecht Engels, stockfoto’s van gewapende beefcakes, en een betalingssysteem dat – in plaats van de bitcoin van klanten te beschermen – degene die de website beheerde in staat stelde om gemakkelijk het geld te stelen. Hij schreef een vernietigende recensie van Besa Maffia op zijn blog en noemde het een zwendel.

Een paar dagen later nam iemand van Besa Mafia contact op. “Helo, ik ben een van de beheerders van de Besa Maffia website op deep web ,” luidde de e-mail. “Zou het mogelijk zijn voor ons om te betalen voor een echte en eerlijke positieve recensie? Laat het me weten als we u kunnen bewijzen dat we legitiem zijn.” Het was ondertekend met “Yura”.

Een heen-en-weer uitwisseling volgde. Monteiro bestookte Yura vrolijk met vragen, gaten slaand in het business model van de site, de beveiliging en de technische opbouw. Voor Monteiro was het duidelijk oplichterij. Maar hoewel Yura de tekortkomingen van de website erkende, hield hij vol dat deze legitiem was. Hij vroeg Monteiro om Besa Mafia het voordeel van de twijfel te geven. “We staan open voor suggesties, we zullen ons best doen om er de beste marktplaats van te maken die zich richt op wraak op het lichaam en vernietiging van eigendommen,” schreef Yura.

Als bewijs bood Yura aan om iemand van Monteiro’s keuze in elkaar te laten slaan. Vervolgens stelde hij voor om een maandelijks bedrag van $50 te betalen om Besa Maffia banners op Monteiro’s blog te plaatsen. Toen Monteiro beide aanbiedingen afwees, werd Yura’s toon dreigend. “Wees neutraal op onze website,” schreef hij. “Tenzij je dat doet, zullen we een aantal goedkope freelancers betalen om artikelen te vullen en berichten en opmerkingen in te dienen waarin wordt beweerd dat je een undercoveragent bent.”

Monteiro publiceerde de uitwisseling in zijn geheel op zijn blog, de spot drijvend met Yura en Besa Mafia. Weken later liet iemand een reactie achter: een link naar een video. Het begon met het tonen van een A4-tje. “Ang leden voor Besa Maffia op deep web,” stond er op het blad. “Opsporing verzocht bij piraten in Londen, 10 april 2016.” Er volgden zo’n 30 seconden van duisternis, geritsel en metaalachtige geluiden. Uiteindelijk draaide de camera naar een witte auto, overspoeld door oranje vlammen. Het laken werd opnieuw getoond, meters verwijderd van de brandende auto. De video leek een bedreiging te zijn voor degene die pirate.london.

Monteiro was ontzet: hij dacht dat dit niet het gedrag was van een oplichter. Online oplichters negeren mensen die hen vermanen, dacht hij; ze steken geen auto’s in brand om hun reputatie te verdedigen. “Ik begon mezelf af te vragen: had ik een criminele organisatie kwaad gemaakt? “Wat had ik me op de hals gehaald?”

WIRED

De video was voor Monteiro aanleiding om contact op te nemen met de politie. Op het Londense politiebureau Charing Cross vertelde hij de agent achter het bureau dat hij onderzoeker was op het gebied van cybercriminaliteit – gespecialiseerd in drugs, fraude en moord – en dat hij aangifte wilde doen van een darknetmoordenaar die hem bedreigde met video’s van vlammende auto’s. “Ik wilde dit gewoon in de notulen laten opnemen,” herinnert Monteiro zich.

De agent was verbijsterd. Weken later werd de zaak doorgegeven aan de cyberbeveiligingsunit van de Metropolitan Police, Falcon Team. Monteiro houdt vol dat er niets uitkwam: hij zegt dat de agent zei dat de auto niet in het Verenigd Koninkrijk leek te zijn vernietigd en daarom buiten de jurisdictie van de politie viel.

Monteiro probeerde ook contact op te nemen met het Britse National Crime Agency (NCA) – maar, zo zou hij later beseffen, hij had het e-mailadres verkeerd getypt en het bericht werd niet afgeleverd. (De NCA stuurt geen bounce-back meldingen.)

Monteiro besloot om de Besa Maffia website zelf te verkennen. Hij maakte een klantenaccount aan, noemde zichzelf Boaty McBoatFace en vroeg een hit aan op een fictief persoon die hij Bob de Bouwer noemde. Al doende ontdekte hij een manier om informatie over de website te verzamelen: elk bericht dat op het platform werd verzonden, kreeg een uniek numeriek ID. Door de bericht-ID’s te combineren met de url van de website, ontdekte Monteiro dat hij de berichten van alle andere gebruikers kon lezen. Gebruikmakend van deze kwetsbaarheid, downloadde hij de volledige berichtendatabase van Besa Mafia en onderzocht het archief.

Zeker genoeg, Besa Maffia was een oplichterij. Elk gesprek volgde een identiek sjabloon. Klanten gaven de details van de persoon die ze wilden doden en de methode die ze verkozen – bijvoorbeeld, een hit die eruit zag als een ongeval zou duurder zijn. Om te bewijzen dat ze de middelen hadden om te betalen, moesten ze vooraf bitcoin overmaken naar een digitale portemonnee – van waaruit, zo verzekerde de website, de klanten op elk moment hun geld konden opnemen.

Yura beweerde snel actie te ondernemen, voordat er een periode van dubbelzinnigheid aanbrak: de huurmoordenaar was aangehouden voor een verkeersovertreding, of voor illegaal wapenbezit. Een meer professionele huurmoordenaar kon worden ingehuurd, maar dat zou meer bitcoin kosten. Sommige klanten bleven betalen, terwijl Yura ze maandenlang ophield. Anderen vroegen hun geld terug, maar dat kwam nooit. Yura hield alle bitcoin.

Maar Besa Maffia was meer dan een gewone oplichterij: Monteiro realiseerde zich dat het een volwaardige nepnieuwsoperatie was.

Yura stak veel energie in het verdedigen van de geloofwaardigheid van de website. Iemand uit Californië, genaamd Thcjohn2, had de website geschreven om zijn diensten als huurmoordenaar aan te bieden. “Ik ben blut (natuurlijk), en ben op zoek naar snel geld,” schreef Thcjohn2. “Ik heb militaire training (US Navy).” In plaats van op zijn aanbod in te gaan, had Yura aan Thcjohn2 gevraagd om video’s te maken van brandende auto’s om Monteiro en andere critici te intimideren. Vervolgens vroeg hij hem om een nepmoord uit te voeren en te filmen, met de hulp van een vriend en een replica van een pistool. In de daaropvolgende maanden doken er online verschillende video’s op van gewapende schurken met bivakmutsen die Yura’s moordwebsites aanprezen.

Yura had ook een hele reeks micro-websites opgezet op het reguliere web, die het nieuws over de Besa Maffia verspreidden onder het mom van het aan de kaak stellen van de maffia. Yura had freelance SEO-experts ingehuurd, die de sites hadden geoptimaliseerd om ervoor te zorgen dat ze als eerste verschenen in de zoekresultaten voor “huurmoordenaar” en soortgelijke woordcombinaties. Een van die freelancers, een in Kolkata gevestigde consultant genaamd Santosh Sharma, vertelde me in juli 2018 dat Yura – die de naam Andreeab had gebruikt toen hij met hem te maken had – hem in bitcoin had betaald. “Hij was gevestigd in Roemenië,” zei hij. Sharma zegt dat hij niet langer voor Yura werkt.

De marketingstrategie leek vruchten te hebben afgeworpen. Nadat hij zich een weg had gebaand door de berichten van Besa Maffia, had Monteiro bewijs dat hij gelijk had over het feit dat de site een zwendel was – maar dat was weinig troost. “Het was een volledig functionerende operatie,” zegt hij. “Mensen waren erin getrapt.”

En er was een keerzijde aan de zwendel: het berichtenarchief was in wezen een dodenlijst – van doelwitten, van conflicten, en aanstichters. Van mensen die andere mensen wilden doden. Yura kon geen huurmoordenaars inzetten, dacht Monteiro, maar wat als sommige klanten van de website zouden besluiten het heft in eigen handen te nemen en hun doelwit zelf te doden? Zou dit archief bewijsmateriaal kunnen zijn – of zelfs gebruikt kunnen worden om moorden voor te zijn?

“De meeste oplichtingspraktijken zijn niet gevaarlijk of hebben geen gevaarlijke mensen in dienst,” zegt Monteiro. “Als je wordt opgelicht door een ‘Nigeriaanse prins’, ben je niet gevaarlijk – alleen dom. Deze zwendel was anders, fundamenteel anders, dan alle zwendel die ik eerder had gezien. De mensen die er gebruik van maken zijn de gevaarlijke mensen, meer dan de oplichter zelf. De klanten zijn de slechteriken.”

De website trok klanten uit alle hoeken van de wereld. Er waren een paar trollen die grappige verzoeken plaatsten, maar de meeste gebruikers waren serieus. Iemand wilde de minnaar van zijn vrouw laten vermoorden, zijn organen verkopen om korting te krijgen op de aanslag, en de vrouw zelf naar Saoedi-Arabië smokkelen; een Nederlandse gebruiker betaalde 20 bitcoin om iemand te laten platrijden in een nep-fietsongeluk; iemand in Minnesota had vier maanden met Yura gechat over hoe je een moeder van één kind kon laten vermoorden.

Monteiro wendde zich voor hulp tot een vriend van hem – een scammer-baiter die de nom de guerre Judge Judy aannam – en samen creëerden ze een programma om systematisch berichten van Besa Mafia te schrapen. Judge Judy was alleen geïnteresseerd in het verstoren van Yura’s zaken. Monteiro begon in plaats daarvan een lijst samen te stellen van de gevaarlijkste gebruikers, gerangschikt naar hoeveel ze betaalden en hoe vastbesloten ze waren om de moord tot een goed einde te brengen. Soms gebruikte hij informatie uit de correspondentie om de identiteit van de websitegebruikers te achterhalen; maar hij besloot geen contact op te nemen met de doelwitten die in de berichten werden genoemd, of het archief online te laten lekken. “Ik hoopte met de politie te kunnen samenwerken en ik wilde geen hacker zijn die bewijsmateriaal vernietigt,” zegt hij. “Wat als ze zich realiseerden dat ze blootgesteld waren, en zich hadden verstopt?”

Hij zegt dat hij heeft geprobeerd de politie erbij te betrekken – opnieuw, met weinig succes. Hij beweert dat de Met hem doorverwees naar de NCA, die zijn telefoontjes of berichten niet beantwoordde; het National Counter Terrorism Security Office zei dat de zaak buiten zijn jurisdictie viel; de FBI stelde voor dat hij met de NCA zou praten.

Besa Mafia

Op 3 juli 2016 lanceerden Monteiro en Judge Judy “Operatie Groente”. Het was de derde hack die Besa Maffia in vier maanden te verduren had gekregen. Het zou ook de laatste – en beslissende – zijn.

Eind april 2016 had een hacker, bekend onder de naam bRspd, de website geïnfecteerd door een kwaadaardig bestand te uploaden in plaats van de foto van een doelwit. Op die manier legde de hacker beslag op het berichtenarchief van de website, de gebruikers-ID’s, wachtwoorden, serverwachtwoorden en beheermails; en dumpte vervolgens de hele boel op het internet. De hack – samen met een tweede, bijna identieke aanval die bRspd in juni uitvoerde – zette verschillende gebeurtenissen in gang.

Yura stelde zijn klanten gerust dat het lek geen grote zaak was. “We zijn geen oplichterij. Er zijn geen bitcoin verloren gegaan. Onze website werd gehackt, maar hackers kregen alleen informatie over enkele gebruikers,” schreef Yura in een bericht aan een klant. “Hij heeft geen bitcoin gestolen.” Ondertussen begon hij met het lanceren van een nieuwe, rebranded website.

Sommige media besteedden aandacht aan het lek en Monteiro gaf interviews over de zaak – iets dat, achteraf gezien, zijn naam op Yura’s radar zette.

Er zat geen langetermijnplan of ingewikkelde reden achter de beslissing. “Ik wilde gewoon de operatie verstoren,” zegt Monteiro. “Het was ook een persoonlijke wraakactie. Ik kan praten over het grotere goed… maar het is persoonlijk. Het zijn veel dingen – mijn individuele focus verschuift van dag tot dag.”

Monteiro beschrijft “Operatie Groente”, als een zorgvuldig geplande “Ocean’s Eleven-stijl” missie. Ze kopieerden alle inhoud van Besa Mafia – en bewaarden die, zegt Monteiro, met de bedoeling die aan de politie te geven – en sloten de website, waarbij ze gebruikers doorverwezen naar een site die zij hadden gebouwd. De nieuwe pagina toonde de afbeelding van een gesloten, roestige deur. Onder het Besa Maffia logo, lieten ze een bericht achter:

“Besa Maffia is gesloten voor zaken

Na 6 maanden criminelen te hebben opgelicht voor hun bitcoins en meer dan 100 BTC ($ 65.000) te hebben gestolen, is de site gesloten

Niemand is ooit in elkaar geslagen of vermoord”

Op de achtergrond speelde de website dat deuntje uit The Sound of Music, “So long, farewell, auf Wiedersehen, goodbye.”

Bij Monteiro thuis, ontkurkten hij en Judge Judy een fles champagne.

Terwijl nepnieuws floreert, wenden de Britse fact-checkers zich tot automatisering om te concurreren

Het bewijs van de eerste moord gelinkt aan Besa Maffia dook op kort nadat Monteiro twee politieagenten ontmoette en zeven maanden na Besa Maffia’s takedown.

In januari 2017 slaagde Monteiro erin om contact te leggen met de NCA via een vriend die iemand kende in de inlichtingeneenheid van de organisatie. Na enkele e-mailwisselingen met een agent – die niet zijn echte naam gebruikte – werd Monteiro uitgenodigd voor een vertrouwelijke ontmoeting in het centrum van Londen.

Voor meer dan een uur vertelde Monteiro de agenten over het materiaal dat hij was tegengekomen na het binnendringen van het berichtensysteem van de website – wannabe orgaanoogsters, verminkingsverzoeken, mensen die ernaar streven om matricide te plegen. Hij stelde voor om de doelwitten te vertellen wat er aan de hand was en wees erop dat Yura, niet afgeschrikt door het fiasco met Besa, nu een nieuwe moordmarkt exploiteerde, Crime Bay genaamd. Het gebruikte dezelfde broncode als Besa Mafia, wat Monteiro handig toeliet om de correspondentie van de site te blijven lezen.

Monteiro beweert dat de officieren zeiden dat ze opnieuw contact zouden opnemen voor een informatieoverdracht, maar hem niet vroegen om hen de gegevens te tonen die hij had meegebracht naar de vergadering, die op zijn laptop stonden. Het enige document dat ze raadpleegden was een A3-print waarop Monteiro de fijne kneepjes van Besa Maffia’s operatie had samengevat.

Deels tijdlijn, deels lijst, deels stroomdiagram, bevatte het document een opsplitsing van de verschillende hacks en dumps die de website had ondergaan, en zelfs een top 10 van de gevaarlijkste gebruikers van de website – in een volledig gewikificeerd formaat. Monteiro, altijd een wikipediant, was begonnen met het structureren van zijn verzameling Besa-maffia-gerelateerde informatie in een met een wachtwoord beveiligde BesaWiki. Een van de “meest gezochte” gebruikers op Monteiro’s A3 was iemand die ging onder de naam Dogdaygod.

Dogdaygod stuurde Yura voor het eerst een bericht in februari 2016. Hij stond te popelen om een vrouw te doden die in Cottage Grove, Minnesota woonde. Hij was open-minded over de methode – in eerste instantie aandringend op een hit-and-run, of een opzettelijke verkeersbotsing, maar later suggereerde hij rasher systemen, zoals het schieten van het doelwit en het afbranden van haar huis.

Dogdaygod toonde een virulente vijandigheid jegens zijn doelwit. “Ik wil die trut dood hebben, dus help me alsjeblieft,” schreef hij. Yura had hem opgehitst: “Ja, ze is echt een trut en ze verdient het om te sterven.” Het gesprek ging maanden door en kwam tot een abrupt einde toen Dogdaygod – moe van Yura’s steeds ongeloofwaardiger voorwendselen waarom de hit niet was uitgevoerd – om terugbetaling vroeg.

“Helaas, deze site is gehackt,” had de admin geantwoord. Hij deed alsof hij de hacker was, in de hoop dat Dogdaygod hem niet langer lastig zou vallen, en om wat geld te verdienen. “We hebben alle informatie over klanten en doelwitten en we sturen het naar de politie tenzij je 10 bitcoin stuurt,” schreef hij. Dat gebeurde op 20 mei 2016.

Op 31 mei 2016, ongeveer een maand na het bRspd-lek, nam de FBI contact op met Amy Allwine, een vrouw die woonde op het adres in Minnesota dat Dogdaygod aan Besa Mafia had doorgegeven. Amy en haar man Stephen Allwine – een IT-specialist en een diaken bij een lokale kerk – ontmoetten agenten die hen vertelden dat iemand minstens $6.000 had betaald op het dark web om Amy te vermoorden. De Allwines zeiden dat ze geen idee hadden wie er schuil kon gaan achter de Dogdaygod persona.

Zes maanden later was Amy Allwine dood. Op 13 november belde haar man 911 en zei dat hij haar lichaam in haar slaapkamer had gevonden. “Ik denk dat mijn vrouw zichzelf heeft neergeschoten,” vertelde hij de operator.

De politie vond echter bewijs dat Stephen Allwine met de moord in verband bracht: sporen van bitcoin-transacties op zijn apparaten, cookies voor dark web-gerelateerde websites, het feit dat Dogdaygod had geprobeerd het verdovingsmiddel scopolamine op het darknet te kopen – en dat er hoge doses van de stof in Amy’s systeem waren gevonden.

In januari 2017 werd Allwine – aka Dogdaygod – aangeklaagd voor de moord op zijn vrouw. In de rechtbank wezen aanklagers op een reeks affaires – en het feit dat Stephen de enige begunstigde was van Amy’s levensverzekeringspolis van $ 700.000 – als waarschijnlijke motieven. Allwine werd schuldig bevonden en in februari 2018 veroordeeld tot levenslange gevangenisstraf.

Monteiro zegt dat hij er kapot van was toen Allwine werd gearresteerd. Tot op dat moment was het idee dat hij levens had kunnen redden – dat de dodenlijst die hij verwoed aan de wetshandhaving had proberen te overhandigen een veelbetekenende kracht had – in wezen een gedachte-experiment geweest.

“Ik had gedacht: ‘Nou, dit zijn vreselijke, vreselijke mensen, die, als je ze niet arresteert, misschien de zaken in eigen hand zullen nemen,'” zegt hij. “Ik dacht dat dat hypothetisch was. Maar toen gebeurde het echt.” Hij sms’te zijn NCA-contact over de ontwikkeling; de officier stelde hem gerust dat ze de zaak met spoed zouden bekijken.

De weken gingen voorbij. Op een vrijdagavond begin februari zat Monteiro thuis pompoensoep te drinken voor de zes gloeiende schermen van zijn computer. Zijn bureau was bezaaid met tekens van geekery: een zelfvernietiging-achtige rode knop; een opgezette Bulbasaur; een parodie “Maybot gebruikershandleiding”. Monteiro liep door zijn met beige vloerbedekking beklede woonkamer, in de richting van de voordeur: hij had een vreemd geluid gehoord. Seconden later sloeg een rode stormram door de witte deur en stormden gewapende politieagenten naar binnen. Ze duwden Monteiro tegen de muur en deden hem de handboeien om. Ze namen zijn computer in beslag, maakten foto’s van de kamer en vroegen hem om de wachtwoorden van zijn apparaten. Na ongeveer 15 minuten zetten ze Monteiro achter in een busje en reden hem naar het dichtstbijzijnde politiebureau.

Op het bureau vertelde een NCA-officier hem dat hij was gearresteerd voor aanzetten tot moord, in verband met Besa Mafia.

FOX9

Het bleek dat Monteiro was gearresteerd op basis van een onjuiste informatiecampagne.

Er waren al een tijdje waarschuwingssignalen, in ieder geval sinds het punt waarop Yura had gedreigd hem als agent te ontmaskeren. In juni 2016, toen Monteiro het Gmail-account van Yura hackte, had hij gemerkt dat de oplichter e-mailadressen had aangemaakt onder de naam van Chris Monteiro en Eileen Ormsby, een Australische journalist die ook over Besa Mafia had geschreven.

In de daaropvolgende maanden had Yura zijn team van freelancers geïnstrueerd om websites te maken die nepnieuws over Ormsby’s en Monteiro’s betrokkenheid bij de moordmarkt verspreidden. Het waren WordPress blogs, niet overdreven geavanceerd, maar sterk in SEO. Sommige waren de NMA blijkbaar opgevallen: in de aanvraag voor het huiszoekingsbevel voor Monteiro’s flat werd een van deze blogs als bewijs genoemd.

“Uit open bronrapportage blijkt dat Chris MONTEIRO en twee andere personen de Hit Man for Hire website ‘Besa Mafia’ op het Dark Web https://hackeddatabaseofbesamafia.wordpress.com/ hebben gemaakt,” luidde het document.

Het was noodzakelijk om Monteiro’s huis te doorzoeken, vervolgde de aanvraag voor het huiszoekingsbevel, omdat hij, als vermoedelijke beheerder van de site, in het bezit zou kunnen zijn van meer slachtoffergegevens en crimineel bewijsmateriaal.

Monteiro bracht bijna twee dagen door in een arrestatiesuite, zichzelf opwerkend, ijsberend in de cel en bladerend in het enige boek dat hij te pakken kon krijgen – de autobiografie van een golfer.

Voor Monteiro waren de ondervragingen een mengeling van blunders en zwarte komedie. Hij moest het verhaal uitleggen van Boaty McBoatFace die een aanslag pleegde op Bob de Bouwer. Op een bepaald moment vroeg de ondervrager Monteiro naar een exemplaar van de stealth-videogame Hitman die in zijn flat was gevonden, waarbij hij impliceerde dat het een inspiratiebron kon zijn geweest voor Besa Mafia.

Eindelijk slaagde Monteiro erin de agenten uit te leggen dat zij de BesaWiki op zijn computer moesten bekijken. Daar zouden ze alles vinden wat ze nodig hadden: namen van doelwitten, berichten, gegevens over bitcoin-betalingen, server-IP’s en informatie over hoe ze de Crime Bay-website konden back-dooren. Om middernacht, op zondag 5 februari, werd Monteiro op borgtocht vrijgelaten.

Hij ging terug naar zijn flat en gokte dat hij het kozijn van de deur zou moeten vervangen. Monteiro verbleef bij Judge Judy’s huis die nacht. Ze speelden N.W.A’s nummer “Fuck tha Police”.

In juni 2017 deelde de politie Monteiro’s advocaat mee dat er geen verdere actie zou worden ondernomen.

Vroeger bouwde je een muur om ze buiten te houden, maar nu vernietigen hackers je van binnenuit

Kort daarna lanceerde de NCA een internationale operatie. Ze spoorden verschillende Besa Maffia-gebruikers op en klaagden hen aan voor samenzwering om een misdrijf te plegen.

In maart 2017 arresteerden ze David Crichton, een Britse arts die opdracht had gegeven voor een aanslag op zijn voormalige financieel adviseur. Crichton betaalde de website echter niet en zei later dat hij de opdracht alleen uit frustratie had geplaatst; Crichton werd in juli 2018 vrijgesproken van enig wangedrag. Een andere Crime Bay-gebruiker in Denemarken, een in Italië geboren vrouw genaamd Emanuela Consortini, werd gearresteerd dankzij een NCA-tip-off en vervolgens veroordeeld tot zes jaar gevangenisstraf voor het opdracht geven tot de moord op een ex-vriend. De website Crime Bay werd uiteindelijk in mei 2017 door de NCA en de Bulgaarse politie gesloten en Monteiro ging ervan uit dat Yura was gevonden en gevangengezet. Monteiro stopte het onderzoek naar de zaak.

Toen, in december 2017, ontving hij een e-mail van Yura. De oplichter beschuldigde Monteiro van immoreel gedrag: zijn ontmaskering van Besa Maffia als oplichterij had ervoor kunnen zorgen dat gebruikers geen tijd en middelen meer verspilden aan de website, maar zelf hun doelwitten vermoordden. Hij noemde Monteiro de echte moordenaar van Amy Allwine. “Hoe kan Yura me e-mails sturen?”, dacht Monteiro. “Hoe zit hij niet in de gevangenis?”

De volle omvang van de situatie kwam begin 2018 aan het licht toen CBS’s 48 Hours Monteiro benaderde met betrekking tot de zaak Allwine. Ze wilden hem interviewen over zijn aanvaring met Yura.

Tijdens de voorbereiding van het interview ontdekte Monteiro dat Yura een nieuwe website had gelanceerd, Cosa Nostra, en een nieuwe persona had aangenomen – Italiaanse capo “Barbosa”. Monteiro’s exploit werkte nog steeds en hij kon alle berichten tussen Yura/Barbosa en zijn klanten lezen, net als in 2016.

Enige tijd vermaakte Monteiro de hypothese dat de nieuwe website een lokvogel van de politie zou kunnen zijn. Maar het leek onwaarschijnlijk: Toen Monteiro het CBS details begon te verstrekken over gesprekken van Cosa Nostra, was het altijd de daaropvolgende tip van het CBS aan de plaatselijke politie die tot onderzoeken en arrestaties leidde. “Ik begon me te realiseren dat mensen direct werden gearresteerd als gevolg van de informatie die ik verstrekte,” zegt hij. De tips van CBS leidden tot arrestaties in Singapore, Illinois en Texas. Toen Monteiro mij enkele documenten over klanten in het Verenigd Koninkrijk doorgaf, stuurde ik de details door naar politiebureaus in Edinburgh en Oxfordshire.

Monteiro probeerde opnieuw de zaak aan de politie door te geven. Hij liet zijn advocaat een e-mail sturen naar de NCA, waarin hij hen vertelde over moorddadige complotten die werden uitgebroed op Yura’s website, die voortdurend van naam werd veranderd – Cosa Nostra, Sicilian Hitmen, Camorra Hitmen, Ndrangheta Hitmen, Yakuza Mafia, Bratva Mafia. Via zijn advocaat raadde de NMA Monteiro aan hun hotline te bellen om mogelijke strafbare feiten te melden; zij waarschuwden hem voor het gebruik van illegale middelen om toegang te krijgen tot de correspondentie van de moordmarkten.

“De dreiging die uitgaat van de zogenaamde moordmarkten zal vrij klein zijn in vergelijking met andere zaken waarmee we ons bezighouden,” vertelde een woordvoerder van de NMA me. “We houden de website niet in de gaten er zijn geen arrestaties verricht. We werken echter nauw samen met onze internationale wetshandhavingspartners om informatie en inlichtingen uit te wisselen,” voegde een tweede woordvoerder daar later aan toe.

Dat laat Monteiro zitten met de lijst en een schijnbaar sterke drang om te handelen, door de meest plausibele gevallen naar de media te sturen. “Ik wil een beetje ophef maken over deze zaak,” zegt Monteiro. “Egoïstisch gezien wil ik lezingen geven en het als platform gebruiken om meer druk op de politie uit te oefenen. Maar hij vindt ook dat hij de plicht heeft om te proberen iets te doen met de informatie die hij ophaalt. “Ik kan niet stoppen omdat er mensenlevens op het spel staan. Stel je voor dat je in een doosje zou kijken en de daad van het kijken in dat doosje heeft je veranderd. Je kunt ervoor kiezen om niet in die doos te kijken. Maar je wist dat er nog steeds iets aan de hand zou zijn: de doos zit vol met verschrikkingen. Moet je kijken? Moet je niet kijken?”

Monteiro blijft kijken. Hij heeft Google alerts ingesteld voor de naam van elk doelwit – voor het geval er iets met ze gebeurt, zelfs als de autoriteiten zijn gewaarschuwd. Zo zag hij het nieuws over Bryan Njoroge in een lokale Indiana-outlet, de News and Tribune.

Volgens de zaakverslagen van de politie van Clarksville stal Njoroge, een 21-jarige Texaan met verlof van de basis Fort Knox, op 8 juni een pistool van een schietbaan, American Shooters, in het noordwesten van de stad. Njoroge werd in de vroege uren van 9 juni dood aangetroffen, met zijn gezicht naar beneden onder de trap van een omroepershokje op een honkbalveld. De lijkschouwer stelde snel vast dat hij was overleden aan een zelf toegebrachte schotwond. De zaak werd binnen enkele dagen gesloten.

Wie ook de hit bestelde op Yura’s scam website wist dat Bryan in Indiana zou zijn op die dagen; meer specifiek, ze wisten dat hij zou verblijven in een specifieke Airbnb, waarvan het adres was opgenomen in de bestelinstructies. Njoroge’s vader, Samwel, bevestigde aan mij dat zijn zoon die Airbnb had geboekt.

“We zijn klaar met de zaak,” vertelde de officier die verantwoordelijk is voor het onderzoek bij Clarksville PD, detective Ray Hall, me in augustus. Hij zei dat hij al een tip had ontvangen over het Toonbib-gesprek en dat hij desondanks “geen feitelijk bewijs” had gevonden dat er iets anders dan een zelfmoord had plaatsgevonden.

Samwel Njoroge vertelde me dat de politie de moordmarkt nooit had genoemd toen ze met hem over de zaak spraken. Hij was niet gelukkig met de manier waarop de dood van zijn zoon was onderzocht en wees op wat hij beschouwde als inconsistenties tussen het proces-verbaal over de ontdekking van het lichaam en de autopsie, en onderstreepte dat de fatale kogel nooit is gevonden. (Een forensisch patholoog vertelde me dat kogels vaak onvindbaar blijven in zelfmoordzaken.)

Samwel voegde eraan toe dat Bryan’s computer, camera en twee telefoons waren verdwenen, wat vreemd is, aangezien Bryan – een kleine Instagram- en YouTube-beroemdheid – onafscheidelijk was van zijn apparaten. Hij vermeldde ook dat zijn zoon een levensverzekeringspolis van $ 400.000 had; Njoroge had de begunstigde gewijzigd – het aanwijzen van een vrouwelijke vriend in plaats van zijn ouders – slechts een maand voor het overlijden.

Samwel zei dat hij niet wist of iemand anders met Bryan kon hebben gereisd, of op de hoogte was van zijn reis naar Indiana.

Bratva Mafia

We weten weinig over Yura: hij (iedereen die ik heb gesproken die contact met Yura had gehad, geloofde dat hij een man was) schept op veel geld te hebben verdiend – wat mogelijk is, vooral in het licht van de piek in de bitcoinprijs van vorig jaar; hij beweert Albanees te zijn, maar Santosh Sharma’s herinnering en Monteiro’s IP-analyse van Yura’s opmerkingen op wiki’s linken hem aan Roemenië; Eileen Ormsby, die meerdere e-mailgesprekken met hem heeft gevoerd, denkt dat Yura waarschijnlijk een twintiger is.

Misschien wel de meest interessante vraag is of Yura, alias Barbosa, een politie-informant is. Hij probeert zich in ieder geval als een van de goeien voor te doen. Toen we e-mails uitwisselden smeekte hij me om niet te zeggen dat zijn website oplichterij was.

“Als je van plan bent om oplichting door huurmoordenaars te melden, kies je in feite de kant van die potentiële moordenaars, help je hen om oplichting en valstrikken te vermijden en help je hen om andere middelen te vinden om hun moord te plegen,” schreef Yura/Barbosa. ” is een moreel recht om criminelen en would be moordenaars op te lichten als dit helpt slachtoffers te redden.”

Hij ondertekende zijn berichten “Barbosa, Lifesaver”.

Zijn verdediging is dat hij een belemmering vormt voor de plannen van potentiële moordenaars, hen berooft van kostbare tijd en geld. Belangrijker is dat hij zei dat hij alle informatie over het doelwit aan de politie gaf, en volhield dat hij met de FBI heeft samengewerkt.

“Nadat Besa Maffia was gehackt, sprak een FBI-agent ter plekke met me via chat. Hij vertelde me dat ze me niet willen arresteren, ze zitten niet achter mij aan, ze willen de moordenaars arresteren,” schreef Yura/Barbosa. “Ze geven niet om een oplichter. Ze geven om moordenaars.”

Yura weigerde bewijs te leveren van zijn communicatie met de FBI, omdat dat zou bewijzen dat zijn website een oplichterij is. Pleitend bij mij om dat niet te melden, bood hij aan de namen van alle doelwitten te overhandigen. Tenslotte zei hij dat hij zou ontkennen ooit met mij gesproken te hebben als ik zou schrijven dat zijn bedrijf een oplichterij was.

Wat Yura zei was een mengeling van feiten, weetjes en leugens. Het is waar dat Yura informatie heeft doorgespeeld aan journalisten die hem benaderden om zijn geloofsbrieven als goedhartige oplichter aan te tonen: hij heeft twee zaken aan het CBS overhandigd, die ze vervolgens aan de politie hebben overgedragen, wat tot onderzoek en arrestaties heeft geleid.

En uit sommige gesprekken in de bRspd-dump blijkt wel dat Yura al in 2016 contacten had met iemand die beweerde te werken voor het kantoor van de FBI in Dallas. De FBI weigerde te bevestigen of te ontkennen of het ooit met Yura had gewerkt.

Andere dingen die Yura zegt zijn onwaar. Hij beweert nooit geweld te hebben vergoelijkt, maar er is bewijs dat hij Thcjohn2, de wannabe-huurmoordenaar, probeerde onder druk te zetten tot het plegen van een aanslag – die blijkbaar nooit werkelijkheid is geworden.

Zijn algehele verhaal van een killer-baiter in glanzend harnas gaat niet op. bRspd, de hacker die in 2016 twee keer inbrak op de website van Besa Mafia, vertelde me tijdens een privéchat dat hij Yura had benaderd over het veranderen van Besa Mafia in een echte honeypot voor criminelen. “Ik probeerde met hem samen te werken door de website beter en veiliger te maken en in plaats van oplichting zouden we mensen echt kunnen helpen om deze criminelen en etc te identificeren door meer gegevens te verzamelen & NIET mensen geld te stelen,” schreef bRspd in september.

Volgens bRspd weigerde Yura. “Hij was gewoon dorstig naar geld,” vertelde bRspd me. “Hij is een grote leugenaar, hij geeft om niets anders dan geld. Bijna alle gesprekken die ik met hem had gingen over het woord ‘geld’ of .” Volgens Monteiro’s analyse van de bitcoin-portemonnees van Besa Mafia zou Yura bijna 5 miljoen pond kunnen hebben vergaard.

bRspd voegde eraan toe dat het idee dat Yura samenwerkte met de politie – in ieder geval vanaf 2016 – “volledig vals” was.

In het algemeen, echter, heeft Yura een punt? Zonder zijn oplichterij zouden sommige levens in gevaar zijn geweest en zouden sommige mensen die moorden beramen er nog steeds zijn. Zonder Yura zouden noch Monteiro, noch de politie, noch journalisten ooit gehoord hebben van Stephen “Dogdaydog” Allwine in Minnesota, de man in Singapore, of de vrouw in Denemarken. Yura’s hebzucht, vasthoudendheid en SEO-strategie hadden onbewust een instrument gecreëerd om de intenties van potentiële criminelen te doorgronden.

Ik stelde Monteiro de vraag bij een biertje in een Londense pub. Was Yura de gemeenschap een dienst aan het bewijzen?

De hele Besa Mafia sorry-saga, zegt Monteiro, begon omdat hij de publieke sfeer wilde zuiveren van leugens. “Ik wilde nepnieuws uit de wereld helpen. Ik wilde het duistere web uitleggen, feiten en fictie vaststellen, uitleggen wat echt is en wat niet,” zegt hij. “Dat is mijn hogere doel – weet je?”

Updated 05.12.2018, 10.13 GMT: Dit artikel is gewijzigd om een datum in de Toonbib-correspondentie te corrigeren: Barbosa antwoordde op 1 juni, niet op 6 juni.

Meer geweldige verhalen van WIRED

– Hoe de Londense metro in 2050 koolstofneutraal zal zijn

– Een energiegigant zal all-you-can-eten in 2019

– De alledaagse dingen die je kunt doen om klimaatverandering te voorkomen

– Binnenin de geheime informatie-oorlogsmachine van het Britse leger

Krijg elke zaterdag het beste van WIRED in je inbox met de WIRED Weekender-nieuwsbrief