LUL.to: Wie hat man die Betreiber des Bezahl-Portals erwischt?

Im Internet kursieren einige Thesen, wie man die deutschen Betreiber des illegalen Bezahl-Portals Lesen & Lauschen (LuL.to) identifiziert hat.

lul.to, torboox boox.to, e-book, e-books

Im Netz kursieren einige Thesen, wie man die deutschen Betreiber des illegalen Bezahl-Portals Lesen & Lauschen (LuL.to) identifiziert hat. Welche Thesen sind wahrscheinlich? Wie gehen die Ermittler in solchen Fällen vor? Wir haben nachgeforscht.

Schwarzkopierer sind Robben, keine Haie!

Wir haben uns kürzlich mit einem Piratenjäger unterhalten, der anonym bleiben möchte. Die Person vergleicht die Betreiber von P2P-Index-, Streaming- bzw. Kauf-Portalen mit Robben. Immer sei die Rede, dass die Schwarzkopierer wie gefräßige Haie im Meer herumschwimmen würden und ihnen keiner etwas könne. Das stimme so aber nicht, sagte mir der Anti-Piracy-Ermittler, der im Auftrag diverser Rechteinhaber tätig ist. Haie müssen ihr schützendes Meer nie verlassen, Robben hingegen schon. Sie suchen zum Beispiel Luftlöcher in der Eisdecke, weil sie sonst ersticken würden.

Bildquelle, thx! (CC0 1.0)

Das Geld ist der Schwachpunkt

So sei es auch mit den Piraten. Ihr Sauerstoff, ihr Schwachpunkt, sei das Geld, welches sie wie die Meerestiere zum Atmen brauchen. Privatwirtschaftliche als auch behördliche Ermittler würden oft der Spur des Geldes folgen. Dabei spiele es keine Rolle, ob die Piraten für ihr Vorhaben im Ausland extra eine Limited oder eine andere Firma inklusive Briefkasten-Adresse gegründet haben. Irgendwann später wollen sie Zugriff auf das Guthaben der Konten der Offshore-Firma haben, was nicht ungefährlich ist. Dazu kommt: Kaum jemand verdient mit seinen Portalen genügend Geld für einen Auslandsaufenthalt oder möchte Deutschland dauerhaft verlassen, um sich den hiesigen Behörden zu entziehen.

Paysafe Karten hat man nicht mehr akzeptiert

Wie also könnte man konkret versucht haben, LuL.to auszuheben? Das Recherchieren der Werbepartner fiel weg. Dort hat man keine Banner geschaltet. Man konnte bei LuL.to vorgeben einzukaufen, um mit einem Amazon-Gutschein zu bezahlen. Paysafe Karten werden dort ja schon seit einiger Zeit nicht mehr akzeptiert. Wahrscheinlich, weil Paysafe von einem Rechteinhaber oder dessen Rechtsanwaltskanzlei darauf hingewiesen wurde, dass über ihr Unternehmen Geldwäsche in Verbindung mit gewerblichen Urheberrechtsverletzungen durchgeführt wurde. Die Grundlagen der verschiedenen Rechtsverstöße, die die LuL-Nutzer begangen haben, haben wir ja ausführlich in unserem Hintergrundbericht behandelt, der hier verfügbar ist.

Doch zurück zu den Amazon-Gutscheinen, mit denen verschiedene Ermittler ihr Guthaben bei LuL.to aufgeladen haben könnten. Diese Gutscheine werden zeitnah von einem der Betreiber oder einem im Team integrierten Einkäufer bei Amazon eingelöst. So wandert das Geld entweder direkt beim echten Account oder Fake-Account des Betreibers oder des Einkäufers. Die Behörde, die nun wissen will, wer für das Einlösen des Gutscheines verantwortlich ist, muss sich an den Herausgeber der Gutscheine wenden. Das geht nach Auskunft des Piratenjägers in bestimmten Fällen nur mittels eines Rechtshilfeersuchens (Herausgeber sitzt nicht in Deutschland, die deutsche Amazon-Tochter gibt nämlich keine Auskunft), was viele Monate in Anspruch nehmen kann.

Über Amazon wird man die Kunden finden

Das heißt konkret: Eine deutsche Behörde (Staatsanwaltschaft) fragt per Amtshilfe z. B. bei der zuständigen US-Behörde nach, wenn der Gutscheinherausgeber seinen Sitz in den USA hat. Diese stellt dann eine Anfrage beim Unternehmen mit Sitz in den USA, hier Amazon. Bis die Informationen über den Eigentümer des Accounts, der die Gutscheine eingelöst hat, in Deutschland angelangt sind, kann einige Zeit vergehen. Das wird aller Wahrscheinlichkeit nach der Grund sein, warum es so lange gedauert hat, die drei Hintermänner von LuL.to zu identifizieren.


Doch die Staatsanwaltschaft will ja nicht nur die einzelne Person dingfest machen, die den Amazon-Gutschein eingelöst hat. Im Idealfall sollen alle Beteiligten überführt werden, die direkt oder indirekt etwas am Betrieb der Webseite verdient haben. Auch das nimmt seine Zeit in Anspruch.

Ein Trick der Ermittler: Amazon-Gutscheine, die sich plötzlich in Luft auflösen

Amazon Gutschein, LUL.to

Screenshot: Amazon.de

Manche Gutscheine bei Amazon sind getürkt, um Piraten zu überführen. Spiegelbest hat der Redaktion von Tarnkappe.info damals erzählt, dass er Amazon-Gutscheine zum Kauf von E-Books bei Amazon.de nutzen wollte. Wenn man den Kauf der E-Books auf diese Gutscheine tätigt, beispielsweise um diese im eigenen Bezahl-Portal anzubieten, so wird man feststellen, dass die Gutscheine nach einiger Zeit ungültig sind, weil sie durch die Ermittler entwertet wurden. Auch die Fake-Gutscheine sind ja bei Eingabe des Gutscheincodes unwiderruflich mit dem entsprechenden Amazon-Konto verknüpft, mit dem man eingeloggt war.

War das Konto nun gefaked (sprich: mit falschen Daten versehen) und man kauft mit diesem Account ein Buch mit so einem gefakten Gutschein ein, so passiert in der Regel Folgendes: Man erhält von Amazon das gekaufte E-Book, kurz darauf wird aber der Gutschein, womit das Buch bezahlt wurde, ungültig. Ein Fake-Account kann nicht an eine echte Bankverbindung geknüpft sein, mit der man noch alternativ zahlen könnte, also hätte man dann ein Buch erhalten ohne zu bezahlen. So wird der Fake-Account unverzüglich von Amazon gelöscht – eben weil man nicht für den getätigten Kauf bezahlt hat. Bis man einen neuen Fake-Account mit zahlreichen überprüfbaren Daten aufbauen kann, dauert eine ganze Weile.

Fake-Accounts funktionierten nicht

Das soll den Einkauf bei Amazon für E-Book-Piraten so aufwändig gestalten, dass diese ihre Werke woanders beziehen. Doch wer so unvorsichtig war, seinen echten Account für das Einlösen der Fake-Gutscheine der Piratenjäger zu nutzen, wurde im selben Moment überführt. Da kann man sich nicht mehr herausreden. Wie will man bitte der Polizei erklären, wie man an den Gutscheincode gelangt ist, außer man hat mit der Beschaffung der E-Books oder dem Betrieb des Portals etwas zu tun!? Deswegen werden von verschiedenen Ermittlern immer wieder gerne gefälschte Amazon-Gutscheine gezielt zur Bezahlung benutzt, um die Piraten zu überführen oder ihnen das Geschäft zumindest deutlich zu erschweren. Zumindest Spiegelbest hat es damals nach einigen geplatzten Amazon-Accounts vorgezogen, seine Quelle für E-Books zu wechseln.

Wandelten zwei Eincasher für LuL.to Amazon-Gutscheine in Bitcoin um?

lul.to

Bildquelle, thx! (CC0 1.0)

Im Forum Bitcointalk.org wird seit der Razzia gemutmaßt, dass dort zwei Anbieter Amazon-Gutscheine für LuL.to in Bitcoin umgewandelt haben sollen. Diese Aussage lässt sich von uns leider nicht ohne weiteres überprüfen. Der User MrDJ war bei Bitcointalk einen Tag vor dem Bust das letzte Mal online. MrLehmann, in der Szene ist das Pseudonym nicht unbekannt, war hingegen zwei Tage nach dem Bust eingeloggt, was gegen dieses Gerücht spricht – außer er war es nicht selbst. Wir erinnern uns.

Nur die wenigsten Szenemitglieder verschlüsseln ihre Computer, worüber sich GVU & Co. natürlich sehr freuen. MrLehmann hat bei Bitcointalk sogar seine Bitcoin-Adresse öffentlich im Profil angegeben, womit man jegliche Bitcoin-Transaktion öffentlich einsehen kann, sofern seine Bitcoin-Adresse noch stimmt beziehungsweise aktuell ist.

Eincasher waren für LUL.to aktiv

MrDJ wird von MrLehmann im Werbe-Thread übrigens als sein „offizieller Mitarbeiterbezeichnet. Tatsache ist, dass Spiegelbest damals mindestens einen Eincasher an LuL.to vermittelt hat, wie er damals berichtet hat. Später war das Verhältnis zwischen ihm und LuL.to bekanntlich sehr gespalten, anfangs half er ihnen noch. Vor seinem Ausstieg aus der Szene hat Spiegelbest sowohl auf seinem eigenen Blog als auch bei Tarnkappe.info sehr negativ über die Macher von LuL.to berichtet. Ihm war wirklich jedes Mittel recht, um ihnen einen reinzuwürgen.

Da Bitcoin-Transaktionen nur vorgeblich anonym sind, musste die Spur des Geldes mittels eines Bitcoin-Mixing-Dienstes nach dem Umtausch der Gutscheine in die virtuelle Währung verschleiert werden. Wer Mathematiker ist und tief genug in der Materie steckt, darf uns bei passender Gelegenheit gerne erläutern, unter welchen Voraussetzungen derartige Vermischungen der Bitcoin-Guthaben zum gewünschten Ziel führen. Tja, oder eben nicht.

Downloads liefen über Cloudflare

Wie dem auch sei. Geld gebraucht haben die Betreiber von LuL.to auch noch aus anderen Gründen. Alle Downloads hat man in den letzten Monaten über den Dienstleister Cloudflare realisiert. Das war sehr teuer, weil dies nicht Teil des regulären Angebots ist. Der Bezug der E-Books und Hörbücher über Cloudflare hatte für die drei Hintermänner aber einen Vorteil. Somit konnte man von außen nicht erkennen, wo ihre Server stehen. Deutsche Server sind hierzulande mit Abstand am preiswertesten und verfügen über eine vergleichsweise schnelle Anbindung. Kostenlos sind sie freilich nicht. Auch von daher hat man Geld benötigt und ausgegeben, was offenbar seine eigenen Spuren hinterlassen hat.

Die LuL.to-Betreiber waren keine guten Menschen!

Doch machen wir uns bitte nichts vor: Die wenigsten Piraten gehen ihrer Tätigkeit aus altruistischen Gründen nach. Geld zu machen, ist eine Sache. Es verschwinden zu lassen, ist, wie man sehen kann, sehr viel komplizierter. Immerhin haben sich ja laut Pressemitteilung im Falle LuL.to rund 100.000 Euro auf mehreren Konten befunden, die die Behörden beschlagnahmt haben. Halten wir fest: Aus Selbstlosigkeit oder als reine Freizeitbeschäftigung wurde dieses Portal zumindest nicht betrieben. Ähnlich wie bei TorBoox ging es den Machern um das große Geld. In der Causa TorBoox hat man die Nutzer zumindest anfangs beschenk. Bei LuL.to sollten sie von Beginn an bezahlen.

P.S.:

Wer eine Abmahnung oder eine Vorladung wegen der Nutzung von LuL.to bekommt, bitte unverzüglich bei uns melden! Wir werden natürlich jeden Hinweis vertraulich behandeln!!

Das Piratenschiff LUL.to ist gesunken. Wie aber hat man die Betreiber ausfindig gemacht? Bildquelle, thx! (CC0 1.0)

Tarnkappe.info

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Außerdem bringt Ghandy, wie er sich in der Szene nennt, seit 2014 an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmern bei, wie das Internet funktioniert.