Den otroliga berättelsen om en falsk torped, en dödslista, en mörkerman på darknet… och ett mord
Jag kände inte Bryan Njoroge. Jag hade aldrig träffat honom, pratat med honom eller stött på honom på nätet. Under normala omständigheter skulle jag aldrig ha hört talas om hans död, mer än 6 500 kilometer bort. Ändå kom ett meddelande i min inkorg i slutet av juni 2018. Dess ämne var följande: ”Självmord (eller mord)?” E-postmeddelandet innehöll en länk till en webbsida som otvetydigt visade att någon ville se Bryan död.
Den 29 maj hade en person som kallade sig Toonbib utbytt meddelanden med en person som de trodde var en maffiacapo som hyrde torpeder på den mörka webben. Toonbib hade skickat en bild på Njoroge i kostym, hämtad från en skolårsbok, och en adress i Indiana där Njoroge – en soldat, som vanligtvis bodde på en militärbas i Kentucky – skulle bo i några dagar. ”Han kommer bara att vara på plats från 01 juni 2018- 11 juni”, skrev Toonbib. De betalade cirka 5 500 dollar i bitcoin för träffen.
Dagen efter började Toonbib jaga den förmodade capo för att få ett svar, vilket tog lite längre tid att få. ”Jag kommer att tilldela en agent till ditt jobb och det kommer att vara klart om ungefär en vecka, är detta ok? Jag kommer att återkomma till dig inom kort med ett beräknat datum”, skrev capo den 1 juni. Toonbib svarade aldrig. Den 9 juni hittades Bryan Njoroge med en dödlig skottskada i huvudet, nära en basebollplan i Clarksville, Indiana. Hans död registrerades som ett självmord.
Det finns inga torpeder i den här historien. Det finns inga skarpt klädda lönnmördare som skruvar ljuddämpare på sina Glocks, inga utsedda agenter och inga capos som leder dem.
Det finns dock en webbplats – en rad webbplatser, för att vara exakt – där alla dessa saker framställs som sanna. Vissa människor faller för det. På jakt efter en torped laddar de ner Tor, en webbläsare som använder kryptering och ett komplext vidarebefordringssystem för att garantera anonymitet, och som gör det möjligt för dem att få tillgång till den mörka webben, där webbplatsen finns. Under falska namn fyller webbplatsens användare i ett formulär för att begära ett mord. De kastar hundratals bitcoins i webbplatsens digitala plånbok.
Sajtens administratör lurar dem: inget mord utförs någonsin. Administratören skulle dela ut ett hagel av lögner om varför träffarna hade fördröjts, och behålla bitcoins.
Men på annat håll har en person vid namn Chris Monteiro stört webbplatsens verksamhet i flera år och utlöst administratörens vrede.
In 2016, två år innan han skickade mejlet om Njoroge till mig, var Monteiro bara en kille som skrev wikis. Monteiro är en lång man i trettioårsåldern med tjockt sabelhår, kort skägg och djupt liggande, mörka ögon, och han är en man med märkliga tidsfördriv. På dagarna arbetar han som datorsystemadministratör för ett Londonbaserat företag, på kvällarna sätter han på en sexskärmsdator i sin lägenhet i södra London och tillbringar timmar med att utforska Internets djup. Han kallar sig själv för ”internetforskare inom cyberbrottslighet och nischade ämnen”. Han var intresserad av transhumanism, den internetbaserade rörelse som förespråkar mänsklig förbättring och odödlighet. Han höll föredrag om sci-fi-politiken med ett lätt slarvigt språkbruk. Han visste en hel del om kreditkortsbedrägerier. Men hans passion var den mörka webben.
Detta var den perfekta miljön för bedragare – ogenomtränglig för sökmotorer och full av olagligheter. Onlineforum kryllade av referenser till kännande AI:er som lurade på den mörka webben, live-streaming-webbplatser som visade hur människor slaktades i ”röda rum”, eller mörka webbsidor som avslöjade Illuminaternas hemlighet. ”Den här konstiga kanten av internet är ett av de svåraste områdena att söka sanningen på”, säger Monteiro.
Under 2015 började Monteiro driva subredditet r/deepweb, en första rad på de dagliga händelserna i nätets underjordiska värld. Han dokumenterade sina upptäckter på sin blogg – pirate.london – och på uppslagsverk på nätet, som Wikipedia och anti-pseudovetenskapssajten RationalWiki. Han gjorde det till sitt uppdrag att döda urbana legender – han bidrog till Wikipedias artiklar om den mörka webben och darknet-marknaden och skapade RationalWikis sidor om röda rum och förrymda AI:er.
Han skrev också RationalWikis artikel om internetmord. Ryktena om att man kunde anlita en uppdragsmördare på den mörka webben i utbyte mot bitcoin hade funnits sedan början av 2010-talet. Det berodde på att till skillnad från snuff-filmer och onda AI:er var tjänster för lejda mördare allestädes närvarande på den mörka webben. Vissa var utformade som ”prognosmarknader”, där användarna crowdfundade mordet på VIP:s och politiker, men de kunde också vara inriktade på den privata hatare som ville boka ett mord via en privat chatt.
Monteiros forskning tydde på att alla sådana webbplatser antingen var ofarliga trolling- eller bluffsidor som syftade till att beröva folk deras bitcoins. Han kunde inte hitta några bevis för att någon någonsin dödats av en torped som anlitats på nätet, och inte heller för att någon torped arbetar på nätet. Han skrev allt detta på RationalWiki. Med fotnoter.
Då, den 20 februari 2016, gjorde en anonym användare en redigering av artikeln om mord på internet. Redigeringen, säger Monteiro, lade till något i stil med ”alla lönnmordssajter är bedrägerier, utom Besa Mafia, som är riktig”, och bifogade en länk till en webbplats på den mörka webben. (Redigeringen raderades permanent av RationalWikis administratörer på Monteiros uppmaning, men en efterföljande ändring av samma användare finns kvar i redigeringshistoriken. ”En annan webbplats är Besa Mafia, en marknadsplats där mördare kan anmäla sig för att erbjuda sina tjänster och där kunder kan beställa”, stod det i redigeringen. ”Webbplatsen skyddar kunderna med en escrow-tjänst som lagrar bitcoins tills jobbet är slutfört. De accepterar även externa escrows.”)
Monteiro uppfattade detta som skamlös självmarknadsföring. De som driver Besa Mafia, vad det nu var, hade till synes vandaliserat hans fint utformade stycke wiki-vetenskap för att göra reklam för sin mordwebbplats. ”Jag tänkte: ”Vad fan är det här för skit?””, säger han. ”Det här är inte bara nonsens, det är någon som främjar en bluff på min artikel.”
Han startade upp Tor och gick till Besa Mafias webbplats. Den som påstods drivas av albanska gangsters (”besa” är albanska för ”heder”) var översållad med dålig engelska, lagerbilder av beväpnade biffiga killar och ett betalningssystem som – långt ifrån att skydda kundernas bitcoin – gjorde det möjligt för vem som än drev webbplatsen att enkelt rycka åt sig pengarna. Han skrev en svidande recension av Besa Mafia på sin blogg och kallade det för en bluff.
Ett par dagar senare hörde någon från Besa Mafia av sig till honom. ”Helo, jag är en av administratörerna för Besa Mafias webbplats på deep web ,” stod det i mejlet. ”Skulle det vara möjligt för oss att betala för en sann och ärlig positiv recension? Låt mig veta om vi kan bevisa för dig att vi är legitima”. Det var undertecknat ”Yura”.
Det följde ett utbyte fram och tillbaka. Monteiro bombarderade glatt Yura med frågor och slog hål i webbplatsens affärsmodell, säkerhet och tekniska uppbyggnad. För Monteiro var det uppenbart att det var en bluff. Men även om Yura erkände webbplatsens brister, hävdade han att den var legitim. Han bad Monteiro att låta Besa Mafia få tvivelsmålet. ”Vi är öppna för förslag, vi kommer att göra vårt bästa för att göra det till den bästa marknadsplatsen med fokus på kroppsskador, hämnd och förstörelse av egendom”, skrev Yura.
Som bevis erbjöd Yura att låta någon av Monteiros val få stryk. Han föreslog sedan att betala 50 dollar i månaden för att visa Besa Mafia-banners på Monteiros blogg. När Monteiro avböjde båda erbjudandena blev Yuras tonläge hotfullt. ”Var neutral mot vår webbplats”, skrev han. ”Om du inte gör det kommer vi att betala några billiga frilansare för att fylla i artiklar och skicka in inlägg och kommentarer som påstår att du är en undercoverpolis.”
Monteiro publicerade utbytet i sin helhet på sin blogg och hånade Yura och Besa Mafia. Veckor senare lämnade någon en kommentar: en länk till en video. Den började med att visa ett A4-ark. ”Ang medlemmar för besa maffia på deep web”, stod det på arket. ”edication to pirate london, 10 april 2016”. Därefter följde cirka 30 sekunder av mörker, prassel och metalliska ljud. Till sist vände sig kameran mot en vit bil som var uppslukad av orangefärgade lågor. Bladet visades igen, meter från den brinnande bilen. Videon verkade vara ett hot mot den som drev pirate.london.
Monteiro blev förskräckt: han trodde inte att detta var beteendet hos en bedragare. Bedragare på nätet ignorerar människor som påpekar dem, tänkte han; de sätter inte bilar i brand för att försvara sitt rykte. ”Jag började ifrågasätta mig själv: hade jag retat upp en kriminell organisation?”, säger han. ”Vad fan hade jag gett mig in i?”
Videon fick Monteiro att kontakta polisen. På Londons polisstation Charing Cross berättade han för polisen bakom skrivbordet att han var forskare inom cyberbrottslighet – med inriktning på droger, bedrägerier och mord – och att han ville anmäla en mördare på darknet som hotade honom med videor av flammande bilar. ”Jag ville bara få det här på papper”, minns Monteiro.
Officeren var förbryllad. Veckor senare lämnades fallet vidare till Metropolitan Police’s enhet för cybersäkerhet, Falcon Team. Monteiro vidhåller att det inte blev något av det: han säger att polisen sa att bilen inte verkade ha förstörts i Storbritannien och därför låg utanför Met:s jurisdiktion.
Monteiro försökte också kontakta Storbritanniens nationella brottsbekämpningsbyrå (National Crime Agency, NCA) – men, skulle han senare inse, han hade skrivit fel på e-postadressen och meddelandet kom inte fram. (NCA skickar inga meddelanden om avvisningar.)
Monteiro bestämde sig för att själv utforska Besa Mafias webbplats. Han skapade ett kundkonto, kallade sig Boaty McBoatFace och begärde en träff på en fiktiv person som han kallade Bob the Builder. Därmed upptäckte han ett sätt att samla information om webbplatsen: varje meddelande som skickades på plattformen tilldelades ett unikt numeriskt ID. Genom att kombinera meddelande-ID:n med webbplatsens webbadress upptäckte Monteiro att han kunde läsa alla andra användares meddelanden. Genom att utnyttja denna sårbarhet laddade han ner Besa Mafias hela meddelandedatabas och undersökte dess arkiv.
Säkerligen var Besa Mafia en bluff. Varje konversation följde en identisk mall. Kunderna skickade in uppgifter om den person de ville ha dödad och vilken metod de föredrog – till exempel skulle ett mord som såg ut som en olycka vara dyrare. För att bevisa att de hade råd att betala krävdes det att de gjorde en bitcoinöverföring i förväg till en digital plånbok – från vilken, försäkrade webbplatsen, kunderna skulle kunna ta ut sina pengar när som helst.
Yura hävdade att han skulle vidta snabba åtgärder, innan det följde en period av undanflykter: torpeden hade stoppats för en trafikförseelse eller för olagligt innehav av en pistol. En mer professionell lönnmördare kunde anlitas, men det skulle kosta mer bitcoin. Vissa kunder fortsatte att betala, eftersom Yura förde dem vidare i månader. Andra begärde en återbetalning, som aldrig kom. Yura behöll alla bitcoin.
Men Besa Mafia var mer än en vanlig bluff: Monteiro insåg att det var en fullfjädrad verksamhet med falska nyheter.
Yura ägnade mycket energi åt att försvara webbplatsens trovärdighet. En Kalifornienbaserad person som gick under namnet Thcjohn2 hade skrivit till webbplatsen och erbjudit sina tjänster som lönnmördare. ” Jag är pank (naturligtvis) och söker snabba pengar”, skrev Thcjohn2. ”Jag har militär utbildning (US Navy).” Istället för att ta emot hans erbjudande hade Yura bett Thcjohn2 att göra videor av brinnande bilar för att skrämma Monteiro och andra kritiker. Han bad honom sedan att iscensätta och filma ett falskt mord, med hjälp av en vän och en replika av en pistol. Under de följande månaderna dök flera videor upp på nätet med balaclava-klädda ligister som avfyrade vapen och pratade om Yuras mordwebbplatser.
Yura hade också inrättat en galax av mikrosajter på den vanliga webben, som spred budskapet om Besa Mafia under förevändning av att fördöma den. Yura hade anlitat frilansande SEO-experter, som hade optimerat webbplatserna för att se till att de dök upp först i sökresultaten för ”hitman for hire” och liknande ordkombinationer. En sådan frilansare, en Kolkata-baserad konsult vid namn Santosh Sharma, berättade för mig i juli 2018 att Yura – som hade använt namnet Andreeab när han handlade med honom – hade betalat honom i bitcoin. ”Han var baserad i Rumänien”, sade han. Sharma säger att han inte längre arbetar för Yura.
Marknadsföringsstrategin verkade ha gett resultat. Efter att ha arbetat sig igenom Besa Mafias meddelanden hade Monteiro bevis för att han hade rätt om att sajten var en bluff – men det var en klen tröst. ”Det var en fullt fungerande verksamhet”, säger han. ”Folk hade köpt den.”
Och det fanns en baksida av bluffen: meddelararkivet var i huvudsak en dödslista – över måltavlor, konflikter och anstiftare. Av människor som andra människor ville döda. Yura hade inga torpeder att sätta in, tänkte Monteiro, men tänk om några av webbplatsens kunder bestämde sig för att ta saken i egna händer och själva döda sitt mål? Skulle detta arkiv kunna utgöra bevis – eller till och med användas för att föregripa mord?
”De flesta bedrägerier är inte farliga eller innehåller inte farliga personer”, säger Monteiro. ”Om du blir lurad av en ’nigeriansk prins’ är du inte farlig – du är bara dum. Den här bluffen var annorlunda, fundamentalt annorlunda, jämfört med alla bluffar som jag hade sett tidigare. De människor som använder den är de farliga människorna, mer än bedragaren själv. Det är kunderna som är skurkarna.”
Sajten lockade kunder från världens alla hörn. Det fanns några troll som lade in skämtförfrågningar, men de flesta användare var seriösa. Någon ville att hans frus älskare skulle dödas, att hans organ skulle säljas för att få rabatt på träffen och att kvinnan själv skulle smugglas in i Saudiarabien; en nederländsk användare betalade 20 bitcoin för att någon skulle bli tillplattad i en fejkad cykelolycka; en person i Minnesota hade tillbringat fyra månader med att chatta med Yura om hur man skulle få en ensamstående mamma mördad.
Monteiro vände sig för att få hjälp till en vän till honom – en bedragare-baiter som antagit nom de guerre Judge Judy – och tillsammans skapade de ett program för att systematiskt skrapa meddelanden från Besa Mafia. Judge Judy var enbart intresserad av att störa Yuras verksamhet. Monteiro började i stället sammanställa en lista över de farligaste användarna, rangordnade efter hur mycket de betalade och hur fast beslutna att genomföra mordet de verkade vara. Ibland använde han information i korrespondensen för att ta reda på webbplatsanvändarnas identitet, men han avstod från att ta kontakt med de måltavlor som nämndes i meddelandena eller att läcka arkivet på nätet. ”Jag hoppades på att få samarbeta med polisen, och vad jag inte ville vara var en hackare som förstörde bevis”, säger han. ”Vad skulle hända om de insåg att de var avslöjade och hade gömt sig?”
Han säger att han försökte få polisen inblandad – återigen utan större framgång. Han hävdar att Met hänvisade honom till NCA, som inte svarade på hans samtal eller meddelanden; National Counter Terrorism Security Office sa att frågan låg utanför dess jurisdiktion; FBI föreslog att han skulle prata med NCA.
Den 3 juli 2016 inledde Monteiro och Judge Judy ”Operation Vegetable”. Det var det tredje hack som Besa Mafia hade drabbats av på fyra månader. Det skulle också bli det sista – och avgörande.
I slutet av april 2016 hade en hackare känd som bRspd infekterat webbplatsen genom att ladda upp en skadlig fil i stället för en bild på ett mål. På så sätt tog hackaren beslag på webbplatsens meddelandearkiv, dess användar-ID:n, lösenord, serverlösenord och administratörens e-postmeddelanden, och dumpade sedan allt på internet. Hackningen – tillsammans med en andra, nästan identisk attack som bRspd genomförde i juni – satte flera händelser i rörelse.
Yura försäkrade sina kunder om att läckan inte var någon stor sak. ”Vi är inte en bluff. Det finns inga bitcoin som gått förlorade. Vår webbplats blev hackad, men hackarna fick bara information om vissa användare”, skrev Yura i ett meddelande till en kund. ”hey did not stoled any bitcoin.” Under tiden satte han igång med att lansera en ny, omprofilerad webbplats.
En del medier täckte läckan och Monteiro gav intervjuer om saken – något som i efterhand satte hans namn på Yuras radar.
Samman med Judge Judy planerade Monteiro att bygga vidare på bRspd:s arbete för att fälla Yura för gott. Med hjälp av information från bRspd:s dumpning lyckades de två hacka sig in på webbplatsen; Monteiro fick till och med tillgång till Yuras Gmail. Där snokade han igenom administratörens korrespondens. Han hittade e-postmeddelanden där Yura talade om att köpa en välbehövlig engelskkurs, meddelanden till frilansare om annonsering och shill-webbplatser samt uppgifter om bitcoinbetalningar. Genom att kombinera denna information med innehållet i de två bRspd-läckorna fick duon fram de kryptografiska nycklar som kontrollerar tillgången till Besa Mafias webbplatsdomän. ”Jag och min kompis sa: ’Det verkar som om vi har tillgång'”, förklarar Monteiro. ”Vi tar ner webbplatsen.”
Det fanns ingen långsiktig plan eller komplicerad logik bakom beslutet. ”Jag ville bara störa verksamheten”, säger Monteiro. ”Det var också en personlig hämnd. Jag kan prata om det allmänna bästa… men det är personligt. Det är många saker – mitt individuella fokus skiftar från dag till dag.”
Monteiro beskriver ”Operation Vegetable”, som ett noggrant planerat uppdrag i stil med ”Ocean’s Eleven”. De kopierade allt innehåll från Besa Mafia – och sparade det, säger Monteiro, i syfte att ge det till polisen – och stängde ner webbplatsen och omdirigerade användarna till en webbplats som de själva hade byggt. Den nya sidan visade bilden av en stängd, rostig dörr. Under Besa Mafias logotyp lämnade de ett meddelande:
”Besa Mafia has closed for business
Efter 6 månader av att ha lurat brottslingar på deras bitcoins och stulit över 100 BTC (65 000 dollar) har sajten stängts
Ingen har någonsin blivit misshandlad eller dödad”
I bakgrunden spelade sajten den där melodin från The Sound of Music: ”So long, farewell, auf Wiedersehen, goodbye”.
I Monteiros bostad öppnade han och Judge Judy en flaska champagne.
När falska nyheter florerar, vänder sig Storbritanniens faktagranskare till automatisering för att konkurrera
Long Reads
När falska nyheter florerar, vänder sig Storbritanniens faktagranskare till automatisering för att konkurrera
Bevisen för det första mordet med koppling till Besa Mafia dök upp kort efter att Monteiro träffade två poliser och sju månader efter att Besa Mafia avvecklades.
I januari 2017 lyckades Monteiro etablera kontakt med NCA genom en vän som kände någon i organisationens underrättelseenhet. Efter några mejlväxlingar med en operatör – som inte använde sitt riktiga namn – bjöds Monteiro in till ett konfidentiellt möte i centrala London.
Under mer än en timme berättade Monteiro för poliserna om det material som han hade stött på efter att ha trängt in i webbplatsens meddelandesystem – wannabe-organhämtare, lemlästningsförfrågningar, personer som strävade efter att begå matriksmord. Han föreslog att måltavlorna skulle informeras om vad som pågick och påpekade att Yura, som inte avskräckts av Besa-fiaskot, nu drev en ny mordmarknad, kallad Crime Bay. Den använde samma källkod som Besa Mafia, vilket lägligt nog gjorde det möjligt för Monteiro att fortsätta läsa webbplatsens korrespondens.
Monteiro hävdar att poliserna sa att de skulle höra av sig igen för en informationsöverlämning, men att de inte bad honom att visa dem de uppgifter som han hade med sig till mötet och som fanns på hans bärbara dator. Det enda dokument som de konsulterade var en A3-utskrift på vilken Monteiro hade sammanfattat de invecklade detaljerna i Besa Mafias verksamhet.
Dokumentet var delvis en tidslinje, delvis en lista och delvis ett flödesschema och innehöll en uppdelning av de olika hackningar och dumpningar som hemsidan hade drabbats av, och till och med en topp 10 över hemsidans farligaste användare – i ett helt wikifierat format. Monteiro, som alltid är en wikipedian, hade börjat strukturera sin samling av information om Besa-maffian i en lösenordsskyddad BesaWiki. En av de ”mest eftersökta” användarna på Monteiros A3 var en person som gick under namnet Dogdaygod.
Dogdaygod messade först Yura i februari 2016. Han ville gärna döda en kvinna som bodde i Cottage Grove i Minnesota. Han var öppen när det gällde metoden – till en början tryckte han på en smitningsolycka eller en avsiktlig trafikkollision, men senare föreslog han snabbare system, till exempel att skjuta målet och bränna ner hennes hus.
Dogdaygod uppvisade en virulent fientlighet mot sitt mål. ”Jag behöver den här slynan död, så snälla hjälp mig”, skrev han. Yura hade uppmuntrat honom: ”Ja, hon är verkligen en slyna och hon förtjänar att dö”. Konversationen pågick i månader och fick ett abrupt slut när Dogdaygod – trött på Yuras alltmer osannolika förevändningar för att förklara varför dådet inte hade utförts – begärde återbetalning.
”Tyvärr har den här webbplatsen blivit hackad”, hade administratören svarat. Han låtsades vara hackaren, i hopp om att stoppa Dogdaygod från att tjata på honom och tjäna lite pengar vid sidan om. ”Vi har all kund- och målinformation och vi kommer att skicka den till brottsbekämpande myndigheter om du inte skickar 10 bitcoin”, skrev han. Detta skedde den 20 maj 2016.
Den 31 maj 2016, ungefär en månad efter bRspd-läckan, kontaktade FBI Amy Allwine, en kvinna som bodde på den adress i Minnesota som Dogdaygod hade lämnat till Besa Mafia. Amy och hennes make Stephen Allwine – en IT-specialist och en diakon i en lokal kyrka – träffade poliser som informerade dem om att någon hade betalat minst 6 000 dollar på den mörka webben för att mörda Amy. Allwines sa att de inte hade någon aning om vem som kunde gömma sig bakom Dogdaygod-personligheten.
Sex månader senare var Amy Allwine död. Den 13 november ringde hennes man 112 och sa att han hade hittat hennes kropp i hennes sovrum. ”Jag tror att min fru sköt sig själv”, sa han till operatören.
Polisen hittade dock bevis som kopplade Stephen Allwine till mordet: spår av bitcoin-transaktioner på hans enheter, cookies för webbplatser med anknytning till darknet, det faktum att Dogdaygod hade försökt köpa bedövningsmedlet scopolamin på darknet – och att höga doser av substansen hade hittats i Amys system.
I januari 2017 åtalades Allwine – alias Dogdaygod – för mordet på sin fru. I rätten pekade åklagarna på en rad affärer – och det faktum att Stephen var den enda förmånstagaren i Amys livförsäkring på 700 000 dollar – som troliga motiv. Allwine befanns skyldig och dömdes till livstids fängelse i februari 2018.
Monteiro säger att han blev förkrossad när Allwine greps. Fram till dess hade tanken att han kunde ha räddat liv – att den dödslista som han frenetiskt hade försökt överlämna till de brottsbekämpande myndigheterna hade en ödesdiger kraft – i huvudsak varit ett tankeexperiment.
”Jag hade tänkt: ”Ja, det här är fruktansvärda, fruktansvärda människor som, om du inte arresterar dem, kanske kommer att ta saken i egna händer”, säger han. ”Jag trodde att det var hypotetiskt. Men sedan hände det verkligen.” Han skickade ett sms till sin kontaktperson vid NCA om utvecklingen; tjänstemannen försäkrade honom om att de skulle undersöka saken skyndsamt.
Vecka efter vecka gick. En fredagskväll i början av februari satt Monteiro hemma och drack pumpasoppa framför sin dators sex lysande skärmar. Hans skrivbord var översållat med tecken på nördighet: en röd knapp i självförstörelsestil, en uppstoppad Bulbasaur, en parodi på en ”Maybot-användarhandbok”. Monteiro gick genom sitt beigefärgade vardagsrum mot ytterdörren: han hade hört ett konstigt ljud. Sekunderna senare slog en röd ramsa in genom den vita dörren och beväpnade poliser rusade in. De tryckte Monteiro mot väggen och satte handbojor på honom. De tog hans dator, tog bilder av rummet och bad honom om lösenord till sina apparater. Efter cirka 15 minuter satte de Monteiro i baksätet på en skåpbil och körde honom till närmaste polisstation.
På stationen berättade en tjänsteman från NCA att han hade gripits för anstiftan till mord, i samband med Besa Mafia.
Det visade sig att Monteiro hade gripits på grundval av en desinformationskampanj.
Det hade funnits varningssignaler ett tag, åtminstone sedan den tidpunkt då Yura hade hotat att avslöja honom som polis. I juni 2016, när Monteiro hackade sig in i Yuras Gmail-konto, hade han lagt märke till att bedragaren hade skapat e-postadresser i Chris Monteiros och Eileen Ormsbys namn, en australisk journalist som också hade skrivit om Besa Mafia.
Under de följande månaderna hade Yura instruerat sin detalj av frilansare att skapa webbplatser som saluförde falska nyheter om Ormsbys och Monteiros inblandning i mordmarknaden. De var WordPress-bloggar, inte överdrivet sofistikerade, men starka på SEO. Några av dem hade till synes fångat NCA:s uppmärksamhet: i ansökan om husrannsakan i Monteiros lägenhet hänvisades till en av dessa bloggar som bevis.
”Rapportering från öppna källor visar att Chris MONTEIRO och två andra personer skapade webbplatsen Hit Man for Hire ’Besa Mafia’ på Dark Web https://hackeddatabaseofbesamafia.wordpress.com/”, stod det i dokumentet.
Det var absolut nödvändigt att genomsöka Monteiros bostad, fortsatte ansökan om fullmakt, eftersom han, i egenskap av förmodad administratör av webbplatsen, kunde vara i besittning av fler uppgifter om offren och brottsliga bevis.
Monteiro tillbringade nästan två dagar i ett häktesrum, där han arbetade upp sig själv, gick runt i cellen och bläddrade i den enda bok som han kunde få tag på – en golfars självbiografi.
Under flera intervjuer med de poliser som hade gripit honom förstod Monteiro att de NCA-agenter som han hade talat med några veckor tidigare inte hade berättat för sina kollegor att han samarbetade med dem – och att han, långt ifrån att vara Yuras medbrottsling, hävdade att han var hans självutnämnda nemesis. Monteiro säger att eftersom han inte kände till sin NCA-kontakts fullständiga namn och han inte hade tillgång till sina enheter när han satt i förvar, kunde han inte omedelbart bevisa sina kontakter med byrån.
För Monteiro var förhören en blandning av blundering och svart komedi. Han var tvungen att förklara historien om att Boaty McBoatFace tog en träff på Bob the Builder. Vid något tillfälle frågade förhörsledaren Monteiro om ett exemplar av smygvideospelet Hitman som hittats i hans lägenhet och antydde att det kunde ha varit en inspiration till Besa Mafia.
Till slut lyckades Monteiro förklara för agenterna att de skulle titta på BesaWiki på hans dator. Där skulle de hitta allt de behövde: namn på måltavlor, meddelanden, uppgifter om bitcoinbetalningar, IP-adresser till servrar och information om hur de ska göra en bakdörr till Crime Bay-webbplatsen. Vid midnatt söndagen den 5 februari släpptes Monteiro mot borgen.
Han gick tillbaka till sin lägenhet och gissade att han skulle behöva byta dörrkarm. Monteiro stannade hos domare Judy den kvällen. De spelade N.W.A:s låt ”Fuck tha Police”.
I juni 2017 informerade polisen Monteiros advokat om att inga ytterligare åtgärder skulle vidtas.
Du brukade bygga en mur för att hålla dem ute, men nu förstör hackare dig inifrån
Långa läsningar
Du brukade bygga en mur för att hålla dem ute, men nu förstör hackare dig inifrån
Kort därefter inledde NCA en internationell operation. De spårade upp flera Besa Mafia-användare och anklagade dem för konspiration för att begå ett brott.
I mars 2017 grep de David Crichton, en brittisk läkare som hade beställt ett mord på sin före detta finansiella rådgivare. Crichton betalade dock inte webbplatsen och sade senare att han hade lagt in beställningen bara av frustration; Crichton friades från alla brott i juli 2018. En annan Crime Bay-användare i Danmark, en italienskfödd kvinna vid namn Emanuela Consortini, greps tack vare ett tips från NCA och dömdes sedan till sex års fängelse för att ha beställt mordet på en före detta pojkvän. Webbplatsen Crime Bay stängdes slutligen av NCA och den bulgariska polisen i maj 2017 och Monteiro antog att Yura hade hittats och fängslats. Monteiro slutade att forska i saken.
Då, i december 2017, fick han ett mejl från Yura. Bedragaren anklagade Monteiro för att vara omoralisk: hans avslöjande av Besa Mafia som en bluff kunde ha fått användarna att sluta slösa tid och resurser på webbplatsen och döda sina mål själva. Han kallade Monteiro för Amy Allwines riktiga mördare. ”Hur kan Yura skicka e-post till mig?”, tänkte Monteiro. ”Hur kan han inte sitta i fängelse?”
Den fulla omfattningen av situationen framkom i början av 2018 när CBS:s 48 Hours kontaktade Monteiro angående Allwine-fallet. De ville intervjua honom om hans möte med Yura.
Under förberedelserna inför intervjun upptäckte Monteiro att Yura hade lanserat en ny webbplats, Cosa Nostra, och antagit en ny persona – den italienska capo ”Barbosa”. Monteiros exploatering fungerade fortfarande och han kunde läsa alla meddelanden mellan Yura/Barbosa och hans kunder, precis som han gjorde redan 2016.
Under en tid uppehöll sig Monteiro vid hypotesen att den nya webbplatsen kunde vara ett polisiärt lockbete. Men det verkade osannolikt: När Monteiro började förse CBS med uppgifter om samtal från Cosa Nostra var det alltid CBS:s efterföljande tips till den lokala polisen som ledde till utredningar och gripanden. ”Jag började inse att folk blev arresterade direkt som ett resultat av den information jag levererade”, säger han. CBS tips ledde till arresteringar i Singapore, Illinois och Texas. När Monteiro gav mig några dokument om kunder i Storbritannien vidarebefordrade jag uppgifterna till polisstationer i Edinburgh och Oxfordshire.
Monteiro försökte återigen föra ärendet vidare till polisen. Han lät sin advokat skicka e-post till NCA och berätta om mordkomplotter som kläcktes på Yuras webbplats, som ständigt bytte namn – Cosa Nostra, Sicilian Hitmen, Camorra Hitmen, Ndrangheta Hitmen, Yakuza Mafia, Bratva Mafia. Genom sin advokat rådde den nationella konkurrensmyndigheten Monteiro att ringa deras hotline för att anmäla eventuella brott. De varnade honom för att använda olagliga medel för att få tillgång till mordmarknadernas korrespondens.
”Hotet från så kallade mordmarknader kommer att vara ganska litet i jämförelse med andra saker som vi hanterar”, sade en talesman för NCA till mig. ”Vi övervakar inte webbplatsen det har inte skett några gripanden. Vi har dock ett nära samarbete med våra internationella brottsbekämpande partner för att dela information och underrättelser”, tillade en annan talesman senare.
Det gör att Monteiro sitter fast med listan och en uppenbart stark drivkraft att agera, genom att skicka de mest trovärdiga fallen till medierna. ”Jag vill skapa lite uppmärksamhet kring den här saken”, säger Monteiro. ”Egoistiskt sett vill jag hålla föredrag , och använda det som en plattform för att sätta ytterligare press på polisen.” Men han känner också att han har en skyldighet att försöka agera på den information han hämtar. ”Jag kan inte sluta eftersom det finns människor som riskerar sina liv. Föreställ dig att du har tittat in i en låda och att det förändrade dig att titta in i den lådan. Du kan välja att inte titta i den lådan. Men du visste att något fortfarande skulle hända: lådan är full av fasor. Ska du titta? Ska man inte titta?”
Monteiro fortsätter att titta. Han har inrättat Google-varningar för varje måltavlas namn – ifall något skulle hända dem, även om myndigheterna har larmats. Det var så han upptäckte nyheten om Bryan Njoroge i en lokal tidning i Indiana, News and Tribune.
Enligt Clarksville PD:s fallrapporter stal Njoroge, en 21-årig texan som var tjänstledig från Fort Knox-basen, den 8 juni en pistol från en skjutbana, American Shooters, i stadens nordvästra del. Njoroge hittades död tidigt på morgonen den 9 juni, med ansiktet nedåt under trappan till en speakerbox på en basebollplan. Rättsläkaren fastställde snabbt att han hade dött av en självförvållad skottskada. Fallet lades ner inom några dagar.
Den som beställde träffen på Yuras bluffwebbplats visste att Bryan skulle befinna sig i Indiana dessa dagar; närmare bestämt visste de att han skulle bo på en specifik Airbnb, vars adress fanns med i beställningsinstruktionerna. Njoroges far, Samwel, bekräftade för mig att hans son hade bokat detta Airbnb.
”Vi är klara med fallet”, berättade den ansvarige för utredningen vid polisen i Clarksville, kriminalinspektör Ray Hall, för mig i augusti. Han sade att han redan hade fått ett tips om Toonbib-samtalet och att han trots detta inte hade funnit ”några faktiska bevis” för att något annat än ett självmord skulle ha ägt rum.
Samwel Njoroge berättade för mig att polisen aldrig hade nämnt lönnmördarmarknaden när de talade med honom om fallet. Han var inte nöjd med hur hans sons död hade utretts och pekade på vad han ansåg vara inkonsekvenser mellan den fallrapport som beskriver upptäckten av kroppen och obduktionen, och underströk att den dödliga kulan aldrig har hittats. (En rättsmedicinsk patolog berättade för mig att kulor ofta inte hittas i självmordsfall.)
Samwel tillade att Bryans dator, kamera och två telefoner hade försvunnit, vilket är märkligt eftersom Bryan – en småskalig Instagram- och YouTube-kändis – var oskiljaktig från sina apparater. Han nämnde också att hans son hade en livförsäkring på 400 000 dollar; Njoroge hade ändrat förmånstagaren – och utsett en kvinnlig vän i stället för sina föräldrar – bara en månad innan han dog.
Samwel sade att han inte visste om någon annan kunde ha rest med Bryan, eller känt till hans resa till Indiana.
Vi vet lite om Yura: han (alla jag talade med som hade interagerat med Yura trodde att han var en man) skryter med att ha tjänat mycket pengar – vilket är möjligt, särskilt mot bakgrund av förra årets topp i bitcoinpriset; han hävdar att han är alban, men Santosh Sharmas minnesbild och Monteiros IP-analys av Yuras kommentarer på wikis kopplar honom till Rumänien; Eileen Ormsby, som har haft flera mejlkonversationer med honom, tror att Yura troligen är i tjugoårsåldern.
Den kanske mest intressanta frågan är dock om Yura, alias Barbosa, är en polisinformatör. Han försöker i alla fall att framställa sig själv som en av de goda killarna. När vi utbytte e-post bad han mig att inte säga att hans webbplats var en bluff.
”Om du har för avsikt att rapportera bluffakturor, ställer du dig i princip på samma sida som dessa blivande mördare, hjälper dem att undvika bluffakturor och fällor och hjälper dem att hitta andra sätt att utföra sina mord”, skrev Yura/Barbosa. ”Det är en moralisk rättighet att lura brottslingar och blivande mördare om detta bidrar till att rädda offren.”
Han undertecknade sina meddelanden ”Barbosa, Lifesaver”.
Hans försvar är att han är ett hinder för potentiella mördares planer och berövar dem värdefull tid och pengar. Ännu viktigare är att han säger att han ger all målinformation till polisen och hävdar att han har samarbetat med FBI.
”Efter att Besa Mafia hackades pratade en FBI-agent med mig på chatt på plats. Han sa till mig att de inte vill arrestera mig, de är inte ute efter mig, de vill arrestera mördarna”, skrev Yura/Barbosa,. ”De bryr sig inte om en bedragare. De bryr sig om mördare.”
Yura vägrade att tillhandahålla bevis för sin kommunikation med FBI, eftersom det skulle bevisa att hans webbplats är en bluff. Han vädjade till mig att inte rapportera det och erbjöd sig att överlämna namnen på alla måltavlor. Han sade slutligen att han skulle förneka att han någonsin skulle tala med mig om jag skrev att hans verksamhet var en bluff.
Det som Yura sade var en blandning av fakta, faktaböcker och lögner. Det är sant att Yura har lämnat över information till journalister som vänder sig till honom för att fastställa sina referenser som en godhjärtad bedragare: han överlämnade två fall till CBS, som sedan överlämnade dem till polisen, vilket utlöste utredningar och arresteringar.
Och vissa konversationer i bRspd-dumpningen visar faktiskt att Yura hade kontakter med någon som påstod sig arbeta för FBI:s kontor i Dallas redan 2016. FBI avböjde att bekräfta eller förneka om man någonsin hade arbetat med Yura.
Andra saker som Yura säger är osanna. Han hävdar att han aldrig har godkänt våld, men det finns bevis för att han försökte pressa Thcjohn2, den blivande mördaren, att begå en misshandel – vilket tydligen aldrig blev verklighet.
Hans övergripande berättelse om att han är en mördar-batiker i skinande rustning håller inte. bRspd, hackern som 2016 två gånger bröt sig in på Besa Mafias webbplats, berättade för mig över en privat chatt att han hade kontaktat Yura om att förvandla Besa Mafia till en riktig honeypot för brottslingar. ”Jag försökte samarbeta med honom genom att göra webbplatsen bättre och säkrare och istället för att scamma kunde vi verkligen hjälpa människor att identifiera dessa brottslingar och etc genom att samla in mer data & INTE stjäla människors pengar”, skrev bRspd i september.
Enligt bRspd vägrade Yura. ”Han var bara törstig efter pengar”, berättade bRspd. ”Han är en stor lögnare, han bryr sig inte om något annat än pengar. Nästan alla samtal jag hade med honom innehöll ordet ’pengar’ eller .”. Enligt Monteiros analys av Besa Mafias bitcoinplånböcker kan Yura ha samlat på sig nästan 5 miljoner pund.
bRspd tillade att uppfattningen att Yura samarbetade med polisen var – åtminstone från och med 2016 – ”helt falsk”.
Inallmänt har Yura dock en poäng? Utan hans scamming skulle vissa liv ha varit i fara och vissa personer som planerar mord skulle fortfarande finnas kvar. Utan Yura skulle varken Monteiro, brottsbekämpande myndigheter eller journalister någonsin ha hört talas om Stephen ”Dogdaydog” Allwine i Minnesota, mannen i Singapore eller kvinnan i Danmark. Yuras girighet, uthållighet och SEO-strategi hade omedvetet skapat ett verktyg för att uppfatta avsikterna hos potentiella brottslingar.
Jag ställde frågan till Monteiro över en öl på en pub i London. Gjorde Yura en tjänst för samhället?
Frågan, hävdade Monteiro, kokade ner till en filosofisk debatt mellan dygd och konsekvenstänkande. Yura kunde argumentera för att hans webbplats användes för att fängsla brottslingar. Men han gjorde det genom att uppmana till mord, genom att sporra brottslingar och genom att sprida lögner – om torpeder, om andra människor och om den mörka webben.
Hela Besa Mafia sorry-sagan, säger Monteiro, började för att han ville rensa den offentliga sfären från lögner. ”Jag satte mig för att stöta bort falska nyheter. Jag ville förklara den mörka webben, fastställa fakta och fiktion, förklara vad som är verkligt och vad som inte är det”, säger han. ”Det är mitt högre syfte – du vet?”
Uppdaterad 05.12.2018, 10.13 GMT: Den här artikeln har ändrats för att korrigera ett datum i Toonbib-korrespondensen: Barbosa svarade den 1 juni, inte den 6 juni.
Mer bra historier från WIRED
– Hur Londons tunnelbana kommer att vara koldioxidneutral 2050
– En energijätte kommer att erbjuda allt-du-kan-äta el 2019
– De vardagliga saker du kan göra för att förhindra klimatförändringar
– Inuti den brittiska arméns hemliga informationskrigsmaskin
Få det bästa från WIRED i din inkorg varje lördag med nyhetsbrevet WIRED Weekender