AlphaBay: Wie wurde die Identität des Betreibers aufgedeckt?

Einerseits sollte, wenn man Betreiber eines Darknet-Martplatzes ist, natürlich alles so anonym wie möglich sein. Man will ja selbst unentdeckt bleiben, Sicherheit hat oberste Priorität. Großer Wert wird auf verschlüsselte Chats gelegt, die Server werden, für Kriminalbeamte praktisch unsichtbar, im nichteuropäischen Ausland versteckt, es werden Kryptowährungen als Zahlungsmittel genutzt. Dennoch haben Ermittler im Darknet, gerade in letzter Zeit, unglaubliche Ermittlungserfolge zu verzeichnen. In solchen Fällen, wo wirklich alles perfekt anonymisiert ist, bleibt nur der Mensch selbst noch als angreifbare Schwachstelle übrig. Fehler unterlaufen jedem mal, auch Administratoren von Darknet-Marktplätzen sind nicht dagegen gefeit. Und genau da setzt die Ermittlungsarbeit der Behörden an.

Menschliches Versagen oder grenzenloser Leichtsinn wurde auch dem in Kanada geborenen, jedoch seit acht Jahren in Thailand lebenden 26-Jährigen Alexandre Cazes zum Verhängnis. Und obwohl er auf technischen Gebieten, wie der Softwareentwicklung, dem Webhosting, der Netzwerkadministration und der Verschlüsselung nahezu unangreifbar war, da er sich gerade mit Hilfe dieser Fähigkeiten als Betreiber des weltweit größten Darknet-Marktes AlphaBay an der Spitze behauptet hat, so unterliefen gerade ihm Fehler, die das Ende von AlphaBay eingeläutet haben und für die er letztlich sogar mit seinem Leben bezahlte oder die ihm anderenfalls eine langjährige Haftstrafe eingebracht hätten.


Mit seinen illegalen Aktivitäten war er über Jahre hinweg sehr gut im Geschäft. Dem FBI zufolge war AlphaBay zehnmal größer als die Plattform Silk Road. Über 40.000 Händler versorgten weltweit mehr als 200.000 Kunden mit ihren illegalen Waren und Dienstleistungen, wie harte Drogen, darunter Fentanyl und Heroin, Waffen, Juwelen, Falschgeld, gefälschte Ausweispapiere, ausgespähte Kreditkartendaten und Internet-Kundenkonten. Oft erfolgte die Zustellung der illegal erworbenen Waren per Post. Insgesamt sollen die Portale Hunderttausende Dollar pro Tag umgesetzt haben. Cazes stellte Händlern das Portal AlphaBay als Plattform für ihre illegalen Transaktionen zur Verfügung und er verdiente durch die eingenommenen Provisionen (zwei bis vier Prozent auf alle Verkäufe) sehr viel Geld. Seit der Gründung von AlphaBay im Dezember 2013 sollen rund eine Milliarde Dollar darüber den Besitzer gewechselt haben.

Am 5. Juli wurde er in Thailand verhaftet, nach einer internationalen polizeilichen Zusammenarbeit der Behörden aus den USA, Kanada sowie Thailand, wobei die kanadische Polizei die Server in Quebec beschlagnahmte. Eine Woche nach seiner Verhaftung wurde Cazes in einer thailändischen Gefängniszelle tot aufgefunden. Wie berichtet wurde, soll er dort Selbstmord begangen haben.

Zum Zeitpunkt seiner Verhaftung stellte man bei Alexandre Cazes knapp über 23 Millionen US-Dollar Vermögenswerte sicher, davon etwa 8,8 Millionen Dollar in Kryptowährungen, wie Bitcoin, Äther, Zcash und Monero. (Laut Kommentar von Marii van ten Haarlen: „Bei Cazes wurden Vermögenswerte in Höhe von 410 Millionen Bath aus 4 Ländern sichergestellt, wobei seine Frau auch in die Sache verwickelt sein soll.“). Weiterhin besaß er mehrere Luxusautos, Häuser sowie ein Hotel. Geldwäsche soll der AlphaBay Administrator über eine Firma namens EBX Technologies betrieben haben.

Seit der Gründung von AlphaBay liefen Cazes illegalen Geschäfte erfolgreich, er fühlte sich auch dadurch wohl nahezu unangreifbar. Das führte dann zu leichtsinnigem Handeln. So kam eins zum anderem. Seine begangenen Fehler gehen aus einer Anklageschrift der US-Staatsanwaltschaft hervor. Er hatte während seiner Zeit als Betreiber von AlphaBay eine Spur gelegt, der die Ermittler nur noch zu folgen brauchten.

Sein größter Fehler bestand in dem Benutzen einer E-Mailadresse, nämlich [email protected] Die Adresse enhielt seinen realen Vornamen und auch sein tatsächliches Geburtsjahr. Diese Adresse benutzte er ab Ende 2014, also ein Jahr nach der Gründung von AlphaBay, in der Willkommensnachricht, die jeder neue Nutzer bekam. Sie stand zu diesem Zeitpunkt zudem in jeder E-Mail zum Zurücksetzen eines Nutzerpassworts. Die E-Mail-Adresse war außerdem einem PayPal-Konto zugeordnet und damit einem unter Cazes‘ realem Namen registrierten Bankkonto. Sie tauchte zudem in einem Technikforum auf, in dem er vor neun Jahren über die Entfernung eines Computervirus schrieb, auch zusammen mit seinem realen Namen sowie seinem späteren AlphaBay-Nutzernamen: Alpha02.

Unter dem Namen Alexandre Cazes fand die Polizei weiterhin ein LinkedIn-Profil, in dem er sich als Mitarbeiter von EBX Technologies ausgab, einer Tarnfirma über die er Geldwäsche betrieb. Laut dem Dokument gab es noch mehr Beweise, dass hinter pimp_alex_91, EBX und Alpha02 der Kanadier Alexandre Cazes steckte. Der grundsätzliche Fehler war es, seine reale Identität nicht strikt von seiner AlphaBay-Identität zu trennen.

Schließlich hat die Polizei das Rechenzentrum ausfindig gemacht, in dem ein AlphaBay-Server stand. Möglicherweise über das Passwort, das Cazes für seine E-Mail-Adresse benutzt hat. Daraufhin erwirkten sie die kurzzeitige Abschaltung des Servers, sodass Cazes gezwungen war, ihn aus der Ferne neu zu starten. Genau diesen Augenblick nutzte die thailändische Polizei, um in sein Haus zu stürmen. Sein Laptop fanden sie im Schlafzimmer. Alle Daten waren unverschlüsselt zugänglich, Cazes war zu diesem Zeitpunkt mit dem Nutzernamen Admin am Server wie auch im AlphaBay-Forum eingeloggt, um seine Nutzer nach dem Ausfall zu beruhigen. Auf dem Laptop fand die Polizei zudem geöffnete Textdateien mit allen wichtigen Zugangsdaten und Passwörtern für AlphaBay.

So zeigt sich auch hier wieder, dass „going dark“, eine Bezeichnung des FBI für das Verstecken von Kriminellen hinter Verschleierungs- und Verschlüsselungstechnik, kein unlösbares Problem für Strafverfolger ist.

Bildquelle: geralt, thx! (CC0 Public Domain)

Vielleicht gefällt dir auch

14 Kommentare

  1. Stiller Leser sagt:

    Die Behörden lügen! Es gab nie irgendwelche Willkommensmails für neue Nutzer und selbst wenn, hätte Cazes niemals dafür eine Emailadresse verwendet, die irgendwie auf seine wahre Identität zurückzuführen wäre. Was viele vergessen: Alpha02 hatte schon vor AB ein äußerst erfolgreiches fraud/carder forum betrieben. Diese Leute sind Profis in der Identitätsverschleierung und so ein Fehler wäre ihm nie, ich widerhole NIE passiert. Sonst hätte er auch nicht so lange „überleben“ können.

    Ich denke eher es exestiert ein neuer Tor exploit und das FBI will diesen nicht verbrennen, siehe: https://www.gizmodo.com.au/2017/03/fbi-drops-all-charges-in-child-porn-case-to-keep-sketchy-spying-methods-secret/

    • Jason Borowski sagt:

      Das wurde aber bereits geklärt. Seine echte E-Mail war offenbar im header der Passwort vergessen emails, sowie auch des alphabay FORUMS.

      Auch war sein Lebensstil ja nun nicht wirklich besinnliche und verschwiegen.

      • Stiller Leser sagt:

        Nocheinmal:
        Es gab keine „Passwort vergessen-Emails“, weder auf dem Marktplatz noch im Forum. Dies können dir auch sämtliche AlphaBay-Nutzer bezeugen. Bei einem hidden service werden schon seit Jahren sämtliche automatischen Mails abgeschaltet, da es immer wieder zu IP-leaks und damit zur deanonymisierung des Serverstandorts kam. Die ganze Geschichte ist eine Lüge, um die tatsächlichen, wahrscheinlich skandalösen Methoden der Behörden weiterhin anwenden zu können. Wie praktisch, dass das der einzige Zeuge, der nach Verbüßung seiner Haftstrafe ein äußerst komfortables Leben gehabt hätte, unter äußerst dubiosen Umständen gestorben ist…

        • Jason Borowski sagt:

          Naja, die Aussage war doch nicht dass sie ihn deswegen geschnappt haben. Also macht es ja keinen Sinn sich so etwas auszudenken. Das Motiv fehlt

          Sicher haben ja auch schon ehemalige alphabay Nutzer die emails bestätigt.

          Da es jetzt sehr viele busts im darknet gab könnte es schon sein, dass Tor nicht mehr sicher ist.

          Aber mit nem Drogen Marktplatz ausgerechnet in Thailand zu leben wo ich glaube es sogar die Todesstrafe darauf gibt und die Behörden sehr stark dagegen vorgehen das hälst du doch nicht wirklich für schlau??? Und dann noch mit Geld um sich werfen ??? Ich bin selbst abgewandert aus D vor langer Zeit und hatte auch ne illegale Seite die gut was eingebracht hat, aber ich habe mir da die Rechtslage in meinem Land immer ganz genau angeschaut

          Auch Hansa war jetzt nicht grad klug in einem EU Land zu hosten. Hatte ich auch nie gemacht. Ich denke die wurden von ihrem Erfolg überrannt und dachten ihnen kann keiner was und wurden nachlässig.

  2. verwundertlich sagt:

    Wenn das mit der Email stimmt, frage ich mich warum man solange gebraucht hat? Jeder Ermitter der sich bei AB registriert hat, hatte automatisch die Hotmail-ADresse des Admins??! Da ist es doch der erste Schritt, diese bei Paypal, ebay, Amazon und CO prüfen zu lassen! Hätte wohl schon Jahre vorher passieren können, da stellt sich die Frage ob Täter und Ermittler wirklich gleich blöd sein können? Letztere haben vielleicht einfach nur seit Jahren auf den richtigen Zeitpunkt gewartet…

    • Jason Borowski sagt:

      Ja im Umkehrschluss fand ich die Holland Ermittler ziemlich klug und kompetent, das ist eher selten.

      Also eben zB dass sie Hansa weiterlaufen liessen. Wobei ich sah das in der Zeit Leute auch noch Drogen bestellten UND geliefert bekamen. Das könnte man fragwurdig finden. Auf der anderen Seite wird ja bei einer Ermittlung gegen Strassendealer auch nicht direkt jede Transaktion unterbunden.

      Ich fands auch bemerkenswert wie sie Alphabay erst abgeschaltet haben so dass er sich einloggen musste und sie dann in genau dem Moment zu schlugen. Der wurde sicher schon lange über wacht

  3. Katzenstreu sagt:

    Stimmt das so, hat der von dem Zeug genascht was so über seine Plattform vertickert wurde.
    Da wäre dann alles ziemlich stimmig.
    Einfach das Gehirn mit Drogen zugedröhnt und dadurch totale Selbstüberschätzung.
    Und ja unterschiedliche Drogen wirken verschieden. Er hat die genommen wo man sich selber brillant findet.
    Liebe Leute wollt ihr groß ins illegale Drogengeschäft einsteigen, bleibt clean und nemmt keine Drogen :-).
    Ist schlecht für Freiheit und Gesundheit.
    Beim legalen Drogenhandel spielt das keine Rolle, einfach bei einer Pharmafirma anfangen und da ist so ein Eigenverbrauch nur ein Produkttest :-).


  4. Wenn das alles so stimmen sollte was von den Behörden veröffentlicht wird, was ich bezweifle, war der Mann entweder total dämlich oder glaubte wirklich, niemand könne ihm etwas. Krasse Sache. Ein absoluter Anfängerfehler unterläuft jemandem, der Millionen mit illegalen Geschäften umgesetzt hat. Die besten Geschichten schreibt wie üblich nur das Leben…

    • Ichbins sagt:

      Also ich hab zwar vom Darknet noch weniger Ahnung, als die Kuh vom fliegen, aber ich weiß, dass man da wohl immer automatisch über zich VPNs unterwegs ist …

      Und wenn man schon einen illegalen Marktplatz ala eBay betreibt … kann man echt so blöde sein, dass über den heimischen Rechner zu machen?!

      Vor allem dürften ja zumindest sehr viele Käufer von Waffen und Drogen nun auch hochgenommen werden! Denn da muss man ja logischerweise eine reale Adresse angeben, denn irgendwohin muss das Zeugs ja geschickt werden.

      Nun ja …

      • Titus sagt:

        Also wer Waffen oder Drogen nicht über einen faked Packstation oder ähnlichem abwickelt dem ist sowieso nichtmehr zu helfen….

        • Ichbins sagt:

          Naja, aber man sieht ja: bekloppter geht es immer.

          Vor allem: wieso macht Papa Staat nicht selbst so etwas?
          Die könnten so einerseits Kohle einsacken und zum anderen auch die Käufer …

  5. Hugo sagt:

    Das liest sich ja bald so als wenn er erwischt werden wollte.
    Da wird aber noch einiges fehlen wie der Datenbestand der NSA der einiges dazu gesteuert haben wird. Man sollte für jede Aufgabe im Netz eine extra Mailadresse bei verschiedenen Providern haben.
    Für Dissidenten scheint dass System TOR und Darknet ja sicher zu sein und dass ist Gut so.

  6. alien sagt:

    Danke an Antonia für die tolle Zusammenfassung :)

    Wenn man sich schon so etwas aufbaut, sollte man unbedingt reales Leben und dem „Darknet“ Leben, GETRENNT halten.

    Dies wurde doch dem Nachfolger von Silkroad Version 1 zum Fehler.
    Der Admin hatte die Server mit einer realen E-Mail Adresse angemeldet.

    Und ich bitte euch, den Dienst Hotmail verwenden?
    Mittlerweile ist doch bekannt, dass MS mit den Behörden ohne die Wimper zu zucken zsm arbeitet.

    Und man kann auch festellen, dass sowohl die US / EU Behörden, die Droge „Fentanyl“ echt verständlich auf dem Kicker haben.

  7. Karla Sauer sagt:

    Vielen Dank für diesen interessanten und spannenden Artikel. Dessen ungeachtet hoffe ich sehr, dass nun auch in Deutschland die Fachermittler ihr ganzes Können und ihre Ressourcen daran setzen, die Käufer von z. B. Waffen oder falschen Identitäten zu belangen. Hier bietet such vielleicht ein ungeahntes Potenzial zur Verhinderung weiterer schwerer Straftaten oder gar zur Aufdeckung krimineller Strukturen. Ich wünsche sehr viel Erfolg dabei.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.