Tech

Was die albanische Mafia wirklich im Darknet treibt

Brennende Autos, mundtote Kritiker und mysteriöse Wikipedia-Einträge—Willkommen beim raffiniertesten Hoax des Darknets.
27.5.16
Bild: Tobias Michaelsen | Flickr | CC BY 2.0

Im Darknet wimmelt es nur so von Betrügern, doch der Fall von der Auftragskiller-Börse Besa Mafia übertrifft alles andere. Die Seite ist bis heute online und wirbt noch immer mit der Vermittlung von „Hitman"-Diensten an geneigte Kunden.

„Wenn du jemanden umbringen oder richtig zusammenschlagen willst, sind wir genau die Richtigen", lautet die ziemlich explizite Selbstbeschreibung der Seite. „Unsere professionellen Auftragskiller sind in den USA, Kanada und Europa tätig, und es ist ganz einfach, jemanden anzuheuern." Laut eigener Angaben befindet sich der Sitz der Gruppe in Albanien.

Screenshot der Seite

Erst in der vergangenen Woche berichtete die Sicherheitsfirma Risk Based Security von angeblich gehackten und online geposteten Dateien der Besa Mafia, die Aufschluss über die Deals hinter den Kulissen geben sollen. Unter den geleakten Dokumenten befinden sich vermeintliche Listen der Auftragskiller, Fotos von Zielpersonen, die von Usern hochgeladen wurden, Informationen über online abgewickelte Aufträge und auch etliche Nachrichten, die angeblich die Kommunikation zwischen Usern und den Admins der Seite dokumentieren.

Zwar gingen Beobachter schon früher davon aus, dass die Seite nur ein Trick ist, um Menschen ihre Bitcoins aus der Tasche zu ziehen—dennoch ist es erstaunlich, wie viel Arbeit die Macher in den Betrug stecken, um sie seriös und echt erscheinen zu lassen. Die Aufmachung der Besa Mafia stellt so ziemlich alle andere kriminellen Darknet-Seiten, die so im Internet zu finden sind, in den Schatten.

Anzeige

***

Der Bestellungsvorgang auf Besa Mafia läuft folgendermaßen ab: Der potenzielle Kunde muss erst ein Benutzerkonto anlegen, lädt Infos und ein Foto des gewünschten Opfers hoch, und kann dann aus einer Bandbreite angebotener Dienste wählen. Ein Mord kostet zwischen 5.000 und 200.000 US-Dollar; um den Tod wie einen Unfall aussehen zu lassen, zahlt der User nochmal 4.000 Dollar drauf; das Opfer nur zusammenschlagen zu lassen ist schon ab lausigen 500 Dollar möglich; und um das Auto der Zielperson anzünden und ausbrennen zu lassen, muss man schon mal eben 1.000 Dollar locker machen.

Auf der Seite kann sich auch jeder, der gerne professioneller Auftragskiller werden will, registrieren. Man muss lediglich ausführen, auf welche Art man Menschen umbringen kann—also beispielsweise mit einer Waffe oder einem Scharfschützengewehr—und ob man eine militärische Ausbildung hat.

Ziel der Seite ist es natürlich, den Leuten ihre wertvollen Bitocins abzuknöpfen. In den geleakten Nachrichten ist deutlich zu erkennen, wie die Admins erstaunlich viele Interessenten hinhalten, sich in der Zwischenzeit schon mal das Geld überweisen lassen und dann etliche Ausreden parat haben, um zu erklären, warum der Mord oder Angriff noch nicht stattgefunden hat.

„Diese Typen haben mit dieser Masche locker 50 Bitcoins [fast 23.000 Dollar] verdient", sagt Chris Monteiro, ein unabhängiger Sicherheitsforscher, der die Seite schon seit Längerem verfolgt. Mit seinem Partner hat Monteiro die Besa Mafia-Seite auch gehackt und sammelt Nachrichten, die über die Seite verschickt und empfangen wurden. Monteiro betont allerdings, dass er nicht derjenige ist, der für den Leak der Daten und Nachrichten verantwortlich ist.

Anzeige

In einer Nachricht aus den veröffentlichten Datensätzen schreibt einer der Admins, dass auf der Seite nicht nur versucht wird, Leute um ihr Geld zu erleichtern; es werden auch Informationen über erteilte Aufträge an die Polizei weitergeleitet.

„Mit dieser Website wollen wir Verbrechern ihr Geld abnehmen. Wir melden sie aus zwei Gründen: um Morde zu verhindern, denn das ist moralisch richtig; und um zu verhindern, dass wir später der Beteiligung am Mord beschuldigt oder damit in Verbindung gebracht werden, falls wir auffliegen", so der Admin.

Die Marke Besa Mafia hat sich im Netz durchgesetzt. Bewertungen der Auftragskiller, Aufrufe, gegen die Seite einzuschreiten und sogar Nachtichten seitens der Admins, in denen sie Skeptikern drohen, haben sich mittlerweile im Darknet und Clearnet verbreitet.

Am 17. April beispielsweise hat jemand den Wikipedia-Eintrag zum Begriff „Albanische Mafia" bearbeitet und um einen wichtigen Zusatz erweitert: „Die albanische Mafia betreibt im Darknet eine kontroverse Seite, auf der sie Aufträge aus der Bevölkerung annehmen. Ihre Dienste beinhalten u.a. das Zusammenschlagen von Leuten, das Inbrandsetzen von Autos und Mord."

Natürlich hätte jeder diesen Eintrag bearbeiten können, inklusive der Besa Mafia-Admins. Das Gleiche gilt für die extrem positiven Bewertungen der Seite, die man überall im Internet finden kann.

In einer Bewertung, die auf einem persönlichen Blog gepostet und von einem angeblich zufriedenen Kunden verfasst wurde, findet sich auch ein Foto eines blutüberströmten, in einem Auto zusammengesackten Mannes. In 800 Wörtern beschreibt der Kunde detailreich, wie Besa Mafia ihm dabei half, den Vergewaltiger seiner Freundin umzubringen.

Anzeige

„Ich habe gesehen, dass sie auch Auftragsmorde durchführen, und war überrascht, wie günstig sie das anbieten: gerade mal 5.000 Dollar", schreibt er. Ein anderer Kunde berichtet, wie er nach einem Autounfall, bei dem der zweite Fahrer flüchtete, über Besa Mafia den Auftrag erteilte, das Auto des Täters verbrennen zu lassen.

Als eine weitere ihrer Vermarktungsstrategien führte die Besa Mafia auch eine Aktion durch, in der Kunden, die die Seite erfolgreich an Freunde weiterempfahlen, zehn Prozent Provision erhalten sollten.

Jetzt, wo die Taten der Besa Mafia angeblich offen liegen, wird auf manchen Seiten sogar darüber diskutiert, Druck auf die Medien auszuüben—sodass sich schließlich auch die Polizei und das FBI dazu verpflichtet fühlen würden, die Seite zu schließen.

„Um ganz ehrlich zu sein, ich war davon schon ziemlich eingeschüchtert"

„Sie sind schon eine ganze Weile online und bisher gibt es keinerlei Beschwerden. Macht es euch also bitte nicht so einfach und behauptet nur, dass das alles ein einziger Schwindel sei. Besser wäre es, die Wahrheit zu sagen, nämlich, dass die Seite existiert und wir unbedingt etwas dagegen tun müssen", so ein Post aus Texas auf der Plattform Reachoo.

Neben den vielen Beiträgen, die die Seriösität der Seite zu bestätigen scheinen, finden sich online auch Leute, die das ganze skeptisch betrachten. Monteiro zum Beispiel hatte die Seite im Februar eindeutig als Hoax bezeichnet. Daraufhin wurde er von einem Admin von Besa Mafia kontaktiert, der ihm die folgende Nachricht zukommen ließ: „Würden Sie sich vielleicht für eine ehrliche, positive Bewertung bezahlen lassen?"

Anzeige

Ein anderer Kritiker, der anonym bleiben möchte, soll von der Besa Mafia 50 Dollar in Bitocin erhalten haben, nachdem er ihrer Aufforderung gefolgt war, seine negativen Kommentare zu löschen. Die Person, die bezahlt wurde, um ihre negativen Kommentare zu löschen, brachte das Geschäftsmodell auf den Punkt: „Es reicht schon ein Idiot, der auf diese Masche reinfällt, und die ganze Sache hat sich für Besa Mafia bereits gelohnt."

Monteiro jedoch gab trotz Drohungen nicht nach. Kurz nach dem Angebot des Admins sendete dieser ihm ein Video, in dem vermummte Gestalten ein Auto in Brand setzten. Als deutliche Warnung hielten sie danach noch eine Karte mit Monteiros Blog-URL vor die Kamera. Die gleiche Drohgebärde soll auch an andere Kritiker von Besa Mafia geschickt worden sein. „Um ganz ehrlich zu sein, ich war davon schon ziemlich eingeschüchtert", erklärte Monteiro Motherboard am Telefon.

Die vor Kurzem geleakten Daten bringen nun allerdings Licht in die Spielchen. Vieles weist darauf hin, dass auch der Leak Besa Mafia legitim erscheinen lassen sollte. Den gehackten Nachrichten zufolge wurden beispielsweise die Autos von potenziellen „Hitmen" angezündet, die hofften, durch diese „Mutprobe" eine Anstellung bei Besa Mafia zu ergattern.

„Fürs Erste könnten wir deine Hilfe beim Anzünden von Autos gebrauchen", schrieb der Admin an einen der vermeintlichen Bewerber. In einer anderen Nachricht folgten dann die Anweisungen, wie das Video auszusehen habe: Such dir einen durchschnittlichen Wagen aus, weder zu teuer noch zu billig, bring ihn an einen kleinen Vorort, schreibe die URL der Besa Mafia auf einen Zettel, zünde das Auto an, geh etwa zehn Meter davon weg und halte den Zettel in die Kamera.

Anzeige

Um zu überprüfen, ob die gehackten Daten echt sind, habe ich versucht, den Nutzern aus dem Leak über Besa Mafias eingebautes Nachrichtensystem Nachrichten zu schicken. Von 22 Nachrichten kamen lediglich fünf an. Dies würde nahelegen, dass die anderen Accounts entweder gelöscht wurden oder einfach nie existiert haben. Keiner der vermeintlichen „Hitmen" oder Auftragskiller hat auf meine Mails geantwortet, und einige der Adressen gab es überhaupt nicht. Somit konnte ich die Echtheit aller Nachrichten nicht beweisen, doch einige enthielten tatsächlich Details über Bitcoin-Transaktionen, die mit den auf der Blockchain vorhandenen Transaktionen übereinstimmten.

Die Person oder Personen, die hinter Besa Mafia stehen, haben mich ihrerseits wissen lassen, dass die gehackten Daten selbst ein Fake seien.

„Es ist jemandem gelungen, das Passwort von einem unserer Mitglieder, das für uns gearbeitet hat, zu stehlen. So kam er an eine Liste von Kunden, die diverse Aufträge anfragten; von da aus hat er sich selbst Nachrichten zwischen den Nutzern und den Admins ausgedacht und sie verfasst", schrieben sie.

Zudem sagten die Admins, dass sie Kritiker nicht mehr dafür bezahlen würden, negative Berichte zu entfernen, sondern stattdessen „direkt deren Autos und Häuser anzünden werden; somit werden wir ihnen beweisen, dass wir echt sind und sie schnellstens ihre Kommentare löschen sollten, wenn sie nicht wollen, dass wir noch mehr anzünden."

***

Die Komplexität dieses Hoax—vom Anzetteln der Leute, Autos anzuzünden bis hin zum Bedrohen von Kritikern—ist etwas, das mir in dieser Form im Darknet bisher noch nie untergekommen ist. Was aber vielleicht beunruhigender als die Seite selbst ist, ist die Tatsache, dass solche Dienste scheinbar gefragt sind.