Pimeällä puolella
Vastaamo-tutkinnassa on paljastunut tietoja, jotka yhdistävät useista rikoksista syytetyn Aleksanteri Kivimäen Tor-verkossa tapahtuneisiin huijauksiin.
7
MIN
Psykoterapiakeskus Vastaamon tietomurrosta ja kiristyksestä syytetty Aleksanteri Kivimäki on kertonut eläneensä ylellisesti. Hän on asunut kalliissa asunnoissa eri puolilla Eurooppaa, ostanut urheiluautoja ja yöpynyt luksushotelleissa.
Kivimäki sanoi oikeudessa, että hän on kustantanut elämäntyylinsä hallussaan olevien kryptovaluuttojen arvonnousulla, eikä hän siksi ole tarvinnut erillisiä tuloja.
Tammikuussa 2024 keskusrikospoliisi julkisti lisätutkinnan, jonka mukaan KRP oli onnistunut jäljittämään Kivimäkeen liitettyjä monero-siirtoja. Monero on kryptovaluutta, jonka liikkeiden jäljittämistä on pidetty mahdottomana, joten KRP:n suorituksesta uutisoitiin myös ulkomailla.
Lisätutkinta tarjoaa muutakin uutta tietoa, josta ei ole kerrottu julkisuudessa. Tiedon merkittävyyttä on vaikea arvioida, ellei ole seurannut tiiviisti anonyymin Tor-verkon huumemaailmaa ja siellä toiminutta huijaria, joka tunnetaan nimellä Dnstats.
Suomen Kuvalehti kertoi Dnstatsista kesäkuussa 2021. Tuolloin vaikutti siltä, että hän oli tienannut huijausoperaatioillaan ainakin kaksi miljoonaa euroa.
KRP:n lisätutkinnan uudet tiedot yhdistävät Kivimäen Dnstatsiin.
Tor-verkkoa kutsutaan myös pimeäksi verkoksi. Sen tietoliikennettä ei voi jäljittää, joten sinne on muodostunut rikollisuutta, jollaista muualla internetissä ei ole. Yleensä Tor-verkko on otsikoissa huumekaupan takia.
Myös Vastaamon kiristäjä käytti Tor-verkkoa. Hän ylläpiti siellä sivua, jossa julkaisi Vastaamosta varastettuja potilaskertomuksia. Lisäksi hän tiedotti tekemisistään Torilauta-nimisellä keskustelupalstalla, joka tuolloin oli Tor-verkon suomalaisten käyttäjien suosikkisivusto.
Avoimeksi verkoksi kutsutaan sitä osaa internetistä, jonka sisällön voi löytää Googlella ja muilla vastaavilla hakukoneilla. Tor-verkon sisältöä niillä ei voi löytää.
Niinpä avoimessa verkossa on sivustoja, jotka keräävät ja jakavat linkkejä Tor-verkkoon. Jotkut sivustoista ovat keskittyneet huumekauppaan.
Alun perin Dnstats oli yksi tällaisista avoimessa verkossa toimivista sivustoista. Sen verkko-osoite oli dnstats.net, ja sen nimi tuli sanoista Dark Net Stats, joka myöhemmin lyheni muotoon Dnstats. Sivusto esitteli Tor-verkossa toimivia kauppapaikkoja ja jakoi niihin linkkejä.
Päivittäin lukemattomat ihmiset käyttivät linkkejä päästäkseen ostamaan huumeita. Sitä he eivät tienneet, että kyseessä oli niin sanottu ”man in the middle” -huijaus: linkit eivät olleet aitoja.
Ostajat päätyivät sivustolle, joka näytti alkuperäiseltä huumeiden kauppapaikalta olematta sitä. Kun he kirjautuivat sisään, tunnukset päätyivät huijarille eli ”miehelle välissä”, joka pääsi viemään heidän rahansa.
Sivuston ylläpitäjää alettiin kutsua netin alamaailmassa nimellä Dnstats. Hänen epäillään syyllistyneen muihinkin huijauksiin ja varkauksiin.
Vastaamon tapauksen esitutkintapöytäkirjassa käsitellään useita Aleksanteri Kivimäkeen yhdistettyjä verkkopalvelimia. Käsittelyn selkeyttämiseksi poliisi on nimennyt palvelimet.
P3-nimellä kutsutusta palvelimesta sanotaan, ettei se ole oleellinen tutkittavien rikosnimikkeiden kannalta, eikä sitä siksi käsitellä tarkemmin tämän esitutkinnan yhteydessä.
Tammikuussa 2024 julkistetussa lisätutkinnassa kerrotaan P3-palvelimesta. Lisätutkinnan mukaan palvelin on pitänyt sisällään Tor-verkon kauppapaikkojen käyttäjille suunnatun ”man in the middle” -huijauksen.
Lisätutkinta nostaa esiin verkko-osoitteen dnstats.net ja luettelee palvelimen sisällään pitämiä nettilinkkejä ja polkuja, joissa sana ”dnstats” toistuu. Monet polut päättyvät jonkin tunnetun Tor-verkon kauppapaikan nimeen.
Joskus kauppapaikka on palvelimella fake-etuliitteellä. Esimerkiksi Darkbay-niminen kauppapaikka on kirjoitettu ”fake_darkbay” ja Apollon ”fake_apollon”. Fake tarkoittaa väärennöstä tai jäljitelmää. Sana näkyy vain sille, joka pääsee muokkaamaan palvelimen sisältöä.
Lisätutkinnan tämä osa voi olla vaikeaselkoinen henkilölle, jolla ei ole tietotekniikan erityisosaamista. Niinpä SK pyysi alan asiantuntijaa tulkitsemaan tekstiä.
”Nämä viittaavat siihen, että näiden alkuperäisten Tor-kauppojen feikkikopiot olisivat olleet tällä palvelimella”, sanoo tietokirjailija ja konsultti Petteri Järvinen.
Tor-verkossa toimi vuosina 2019–2020 kotimainen kauppapaikka nimeltä Sipulimarket. Avoimeen verkkoon osoitteeseen sipulimarket.fi ilmestyi tuolloin sivu, joka muka ohjasi aitoon Sipulimarketiin, mutta olikin huijaus.
Tor-verkossa on pitkään toiminut Flugsvamp-niminen ruotsinkielinen kauppapaikka. Avoimessa verkossa osoitteessa flugsvamp.org on ollut samanniminen huijaussivu. Sekä se että sipulimarket.fi esiintyvät lisätutkinnassa.
”Lisätutkinnasta saa käsityksen, että myös nämä avoimen verkon sivut olisivat olleet tällä palvelimella”, Järvinen sanoo.
Hän on seurannut tiiviisti Vastaamo-oikeudenkäyntiä.
”Selvää on, ettei Kivimäen leveä elämä ole ollut pelkän kryptovaluutan ansiota, kuten hän oikeudessa selittää.”
Sipulimarket oli hyvin suosittu kauppapaikka, jossa myytiin valtavasti huumeita. Koska sivustolla liikkui paljon rahaa, se oli otollinen kohde huijarille.
Elokuussa 2020 Sipulimarketin ylläpitäjä varoitti huijauksista Torilauta-sivustolla:
”Sipulimarket.fi ja dnstats.net eivät ole marketin ylläpidon sivustoja, ja ainakin dnstats.netin tällä hetkellä sisältämä Sipulimarket-linkki on man-in-the-middle proxy, joka edelleen onnistuu viemään monilta hakukoneita käyttäviltä varomattomilta ostajilta bitcoinit ja tilin.”
Viestin kirjoittaja käytti Sipulimarketin niin sanottua trippikoodia eli Torilaudalla käytössä ollutta tunnusta, jonka salasanan tiesi vain Sipulimarketin ylläpitäjä.
Viranomaiset takavarikoivat Sipulimarketin verkkopalvelimen joulukuussa 2020 ja sulkivat sivuston, mutta sen ylläpitäjää he eivät saaneet kiinni. Pari päivää myöhemmin ylläpitäjä alkoi kirjoitella Torilaudan chattiin, jolloin myös huijari oli siellä. Heidän välilleen virisi keskustelu.
Dnstats oli alun perin ollut sivusto, joka jakoi aitoja linkkejä luotettavina pidetyille kauppapaikoille. Torilaudan chatissa huijari kertoi saaneensa Dnstatsin haltuunsa murtautumalla sen ylläpitäjän sähköpostiin ja siirtämällä sivuston itselleen. Sen jälkeen hän oli vaihtanut linkit väärennettyihin osoitteisiin.
Sipulimarketin ylläpitäjä kysyi huijarilta, kuinka paljon tämä oli tienannut ”phishauksillaan” eli tietojenkalastelulla.
”Noin miljoona kertynyt viime vuoden aikana, mutta rahaa menee ihan hyvää vauhtia. Niistä lähes kaikki realisoitu tähän mennessä.”
Huijari kertoi käyttävänsä tulojaan muun muassa vuokrien maksamiseen, autojen ostamiseen ja matkusteluun. Hänen mukaansa se, että kaikki tulot olivat kryptovaluuttoja, aiheutti omat haasteensa, mutta hänellä oli asiaan ratkaisu.
”Kiinalainen OTC-kauppias tekee ihan mielellään laskut ja sopimuspaperit pankkia varten konsulttipalveluista.”
Poliisikuulusteluissa Aleksanteri Kivimäki on kertonut käyttäneensä kiinalaisen miehen OTC-palveluita. Kivimäen mukaan mies on vaihtanut hänen kryptovaluuttojaan tavalliseksi valuutaksi ja maksanut hänen puolestaan laskuja.
Huhti-toukokuussa 2021 Dnstats-huijari teki tiettävästi merkittävimmän yksittäisen operaationsa.
Avoimessa verkossa toimii Dark.fail-niminen sivusto, joka jakaa linkkejä Tor-verkkoon. Keväällä 2021 se oli kaikista vastaavista sivustoista suosituin.
Dark.failin verkko-osoitteen oli rekisteröinyt Tucows-niminen yritys. Huijari lähetti Tucowsille väärennetyn dokumentin, joka oli muka Kölnin käräjäoikeudelta Saksasta. Dokumentin mukaan Tucowsin piti luovuttaa verkko-osoitteen hallinta oikeudelle.
Dokumentti oli niin aidon näköinen, että Tucows totteli, jolloin Dark.fail siirtyi toiselle palveluntarjoajalle ja huijarin käyttöön. Tämä vaihtoi Dark.failin linkit omiin linkkeihinsä. Ne olivat samoja väärennettyjä linkkejä kuin Dnstats-sivustolla.
Dark.failin ylläpitäjä tviittasi, että hänen sivustonsa oli kaapattu. Hän varoitti huijauslinkeistä ja arveli, että kaappaaja ansaitsi niillä vähintään 250 000 euroa vuorokaudessa.
Kesti viisi päivää, ennen kuin palveluntarjoaja, jolle Dark.failin verkko-osoite oli siirtynyt, ymmärsi tilanteen ja palautti sivuston sen alkuperäisen omistajan hallintaan.
Vastaamo-oikeudenkäynnin rikosnimikkeet ovat sellaisia, ettei huumekauppa liity niihin mitenkään. Niinpä oikeudessa ei ole käsitelty P3-palvelimen sisältämää tietoa, joka liittyy Tor-verkon kauppapaikkoihin.
Mutta voidaanko siihen palata tulevaisuudessa?
”Asiaa ei ole vielä kunnolla tutkittu. Kätemme ovat aika lailla sidotut tämänhetkiseen oikeusprosessiin”, sanoo Vastaamo-vyyhdin tutkinnanjohtaja, rikoskomisario Marko Leponen.
Dnstatsin tekojen oveluus oli siinä, että hän huijasi ihmisiä, jotka yrittivät ostaa huumeita eli yrittivät tehdä rikoksen. Tuollaiset ihmiset eivät yleensä tee rikosilmoitusta, koska silloin myös heidän omat rikolliset pyrkimyksensä paljastuisivat.
Onko tuollaisissa huijauksissa siis edes mitään tutkittavaa?
”Varhaista sanoa tässä vaiheessa. Täytyy perehtyä tähän jatkossa. En lähde arvailemaan rikosnimikkeitä.”
Aikooko poliisi tutkia näitä huumejuttuja?
”Vastaamo-tutkinnan yhteydessä on paljastunut myös muuta rikollisuutta. Kun sellaisia epäilyksiä tulee, niin niitä voidaan tutkia.”
SK pyysi Kivimäen puolustusasianajaja Peter Jaaria välittämään Kivimäelle kysymyksen, onko tämä Dnstats.
”En tiedä asiasta mitään, tullut esille poliisin lisätutkinnan yhteydessä johon liittyy muita henkilöitä. Asiassa ei ole esitetty yhteyttä minun ja tämän Dnstatsin välillä”, Kivimäki vastasi.
Länsi-Uudenmaan käräjäoikeus antaa Vastaamo-vyyhdin pääkäsittelyssä tuomion 30. huhtikuuta.
Syytetty Aleksanteri Kivimäki pidetään vangittuna tuomionantoon asti. Hän on kiistänyt kaikki syytteet.