Dagbladet avslører:

­Hit gikk de skjulte pengene

Dagbladet kan i dag avsløre at penger fra svindel- og hackerangrep i Norge, har gått via en kryptobørs i skatteparadiset De britiske Jomfruøyer. Bak står en kontroversiell italiener.

MILLIARDKONTO: Dagbladet kan avsløre at hackergruppa Killnet har overført bitcoin til kontoer der det står over en milliard kroner i kryptovaluta. Penger som blant annet er skaffet ved å misbruke navnet til verdens rikeste mann. Reporter: Christina H. Korneliussen/Dagbladet TV Vis mer
Publisert
Sist oppdatert

ROAD TOWN/OSLO (Dagbladet): September 2018: «Det vil bli publisert bilder av deg der du onanerer, hvis du ikke betaler bitcoin til oss.»

Slik lød en trussel som dukket opp i norske e-postbokser høsten 2018. Omfanget var såpass at Kripos så seg nødt til å advare mot virksomheten. Hvem som sto bak, eller hvor svindelpengene havnet, fant politiet aldri ut.

- Januar 2021: 15 måneder seinere sendte Finanstilsynet i Norge ut en advarsel mot en rekke selskaper. Blant dem var et selskap som, ifølge Finanstilsynet i Belgia, svindlet nettbrukere i hopetall.

29. juni 2022: 1,5 år etter det igjen, om morgenen 29. juni i år, var nettkriminalitet den største saken i det norske nyhetsbildet. Da meldte Dagbladet at den russiske hackergruppa Killnet angrep norske myndigheter, som svar på at Norge sa nei til transport fra Russland til Barentsburg på Svalbard.

Dagbladet kan i dag avsløre at de tre hendelsene har noe til felles: I samtlige saker skal det ha blitt overført kryptovaluta til en kontroversiell kryptobørs i Karibia.

SJEFEN: Finansdirektør Giancarlo Devasini er ifølge Financial Times mannen som styrer kryptobørsen Bitfinex. Han har ikke selv svart på Dagbladets henvendelser om at hackerpenger skal ha blitt overført til hans kryptobørs. Foto: Bitfinex
SJEFEN: Finansdirektør Giancarlo Devasini er ifølge Financial Times mannen som styrer kryptobørsen Bitfinex. Han har ikke selv svart på Dagbladets henvendelser om at hackerpenger skal ha blitt overført til hans kryptobørs. Foto: Bitfinex Vis mer

Ukraina slo alarm

Kryptobørsen heter Bitfinex. Fra sin registrerte adresse i skatteparadiset De britiske Jomfruøyer, er den en av verdens viktigste vekslingssteder for kryptovaluta.

Bitfinex markedsfører seg direkte mot russere ved å la alle tjenestene være tilgjengelige på russisk. Ukrainske myndigheter ba allerede i mars om at Bitfinex skulle slutte å ta imot russiske penger.

Nå kan Dagbladet avsløre at en donasjon til Killnet har gått inn på kryptobørsen Bitfinex så seint som i september.

ENKLE BYTTER: På tre år har nesten 50 norske bedrifter og kommuner blitt utsatt for datainnbrudd av ulike russiske hackerbander. Reporter: Christina H. Korneliussen/Dagbladet TV Vis mer

I en e-post til Dagbladet hevder Bitfinex først at det bare er en enkelt Killnet-relatert transaksjon som har vært innom deres systemer. På oppfølgingsspørsmål medgir imidlertid selskapets kommunikasjonssjef at det også flere enn denne ene transaksjonen, er på et tidspunkt er innom Bitfinex sin kryptobørs.

- Bitfinex har strenge retningslinjer for å motvirke hvitvasking, terrorfinansiering, brudd på sanksjonslover eller annen kriminell aktivitet. Vi går lengre enn det vi strengt tatt trenger for å motvirke slik aktivitet – det gjelder også alle uønskede aktører relatert til krigen mellom Russland og Ukraina, skriver Sheel Kohli, kommunikasjonssjef i Bitfinex, i en e-post til Dagbladet.

Dagbladet har også kontaktet selskapets italienske finansdirektør - den tidligere plastikkirurgen Giancarlo Devasini, som ifølge Financial Times er Bitfinex' sterke mann. Han har ikke svart på Dagbladets spørsmål.

En lokal medarbeider, Zarrin Ahmed, har på oppdrag fra Dagbladet oppsøkt adressen til Ifinex, eierselskapet til Bitfinex, på De britiske Jomfruøyer. Ifølge henne var det ingen spor å finne etter selskapet.

INGEN SPOR: Det var ingen spor å se etter Ifinex - eierselskapet til Bitfinex - oppgir på De britiske jomfruøyer. Det opplyser Dagbladets lokale medarbeider. Foto: Zarrin Ahmed
INGEN SPOR: Det var ingen spor å se etter Ifinex - eierselskapet til Bitfinex - oppgir på De britiske jomfruøyer. Det opplyser Dagbladets lokale medarbeider. Foto: Zarrin Ahmed Vis mer

Mistenkelig

Først: Hva er en kryptobørs?

- Om du har bitcoin og vil ha dem ut i dollar, kroner, rubler eller hva som helst, er den vanligste måten å gjøre det på å sette dem inn på en børs og så selge dem, sier Anders Helseth til Dagbladet.

Han er senioranalytiker i kryptoanalyseselskapet Arcane Crypto, og har bistått Dagbladet i undersøkelsene av Killnets bitcoin-økonomi.

- På en kryptobørs kan du få det folk tenker på som vanlige penger. Det hackerne ikke kan gjøre er å selge veldig mye kryptovaluta på en gang, da vil de avsløre hvem de er. Børsene vil da rapportere at det er noe mistenkelig som foregår, sier Helseth.

KRYPTOEKSPERT: Anders Helseth er seniorrådgiver i kryptoanalyseselskapet Arcane Crypto. Foto: Nina Hansen
KRYPTOEKSPERT: Anders Helseth er seniorrådgiver i kryptoanalyseselskapet Arcane Crypto. Foto: Nina Hansen Vis mer

Sporene til Bitfinex dukket opp i en større kartlegging av hackergruppa Killnet sin bitcoin-økonomi. Dagbladet avslørte at Killnet har overført bitcoin til kontoer der det står bitcoin verdt over en milliard kroner. Verken Killnet eller et av medlemmene deres ønsket å kommentere saken.

Dagbladet avslørte også at kontoene også ser ut til å ha blitt brukt i nettsvindel og annen kriminalitet tidligere – blant annet en form for investeringsbedrageri der Elon Musk, verdens rikeste mann, misbrukes for å svindle folk for penger.

- Det jeg tipper disse hackergruppene gjør, sier Anders Helseth.

- Er at de både bruker kryptovalutaen i en slags kryptoøkonomi – som er rundt disse hackergruppene. Og at de så gradvis veksler kryptovalutaen til ordinær valuta, på ulike børser, sikkert med falske identiteter – som de kanskje har hacket til seg. Da får de konvertert litt, så de får kjøpt seg mat og fine biler. Men mye blir værende i hacker-økonomien.

«Hot wallet»

Nå kan Dagbladet altså avsløre at en av de to kontoene der Killnets penger stoppet, tilhører Bitfinex.

At kontoen tilhører Bitfinex går fram av en omfattende artikkel om Bitfinex og deres egen kryptovaluta Tether, publisert i forskningstidsskriftet The Journal of Finance i oktober 2019. Kontoen er også navngitt i flere innlegg fra kryptoanalytikere på nettforumene Twitter og Reddit.

Kontoen er en såkalt «hot wallet» – noe som betyr at den er tilknyttet Internett hele tida. Det gjør det lettere å overføre penger inn og ut av kontoen, men det gjør den også mer sårbar for hacking. En «cold wallet» er derimot ikke koblet til nettet. Noe som gjør den sikrere, men også mer kronglete å bruke.

At det kan medføre risiko å ha kryptovaluta stående hos Bitfinex, gikk fram i 2016. Da ble kryptobørsen utsatt for et av tidenes mest innbringende hackerangrep. Samtidig skal et stort antall mistenkelige transaksjoner ha funnet sted. Et amerikansk ektepar ble i februar i år pågrepet i saken, siktet for forsøk på å hvitvaske bitcoin - stjålet fra Bitfinex - verdt 32 milliarder kroner.

KRYPTOBØRS: Innloggingen til Bitfinex fotografert på en smarttelefon. Penger fra flere kriminelle handlinger i Norge er overført til børsen. Foto: Rafael Henrique / SOPA Images / Shutterstock
KRYPTOBØRS: Innloggingen til Bitfinex fotografert på en smarttelefon. Penger fra flere kriminelle handlinger i Norge er overført til børsen. Foto: Rafael Henrique / SOPA Images / Shutterstock Vis mer

Flere transaksjoner

Sheel Kohli, kommunikasjonssjef i Bitfinex, skriver i en e-post til Dagbladet:

- Vi har nøye undersøkt påstandene om at penger fra en av Killnets donasjonskontoer har blitt overført gjennom Bitfinex’ «hot wallet», og vi har funnet at dette ikke er tilfelle. «Midlene» det er snakk om er en enkelt transaksjon, utført i september 2022, verdt totalt 166,27 dollar. Pengene stammer fra en donasjon til Killnet, som var innom to andre kontoer mellom donasjonsadressen og Bitfinex sin «hot wallet».

- Killnet opererer minst tre bitcoin-kontoer, med mye trafikk ut og inn. Kan du garantere at denne transaksjonen er den eneste?

- Vi er klar over, som du korrekt påpeker, at Killnet har minst tre donasjonskontoer. På alle er det et høyt antall inngående og utgående transaksjoner. På samme måte som den spesifikke transaksjonen vi kommenterte i vårt forrige svar, er noen av disse andre transaksjonene innom Bitfinex indirekte.

Sheel Kohli presiserer at dette skjer gjennom en rekke mellomstopp, som trolig i enkelte tilfeller administreres av andre kryptobørser, betalingstjenester eller kryptomeklere. Han hevder at ingen av transaksjonene « berører Bitfinex direkte».

- Det har ikke vært direkte kontakt mellom Killnet og vår kryptobørs. Killnet har ikke hatt mulighet til å vaske penger hos oss.

- Vi har en rekke tiltak vi kan sette inn, om vi mistenker at noen bruker vår plattform til kriminell aktivitet. Vi har også mulighet til å fryse midler eller frata noen kontoene deres.

Italiener står bak

Selv om han på papiret «bare» er finansdirektør, er det ifølge Financial Times italieneren Giancarlo Devasini som er Bitfinex' sterke mann. Et lekket taleopptak fra 2016, som avisa refererer, indikerer det samme.

Der sier italieneren:

- Når alt kommer til alt, er det jeg som styrer sjappa i Bitfinex.

Italieneren er opprinnelig plastikkirurg, et yrke han ifølge Financial Times la vekk fordi han ganske raskt kom til en erkjennelse om at «alt jeg gjorde var å svindle folk».

Devasini har vært innom flere bransjer - og en rekke ganger vært i klammeri med politi og påtalemyndigheter. Men innen kryptovaluta har Devasini det siste tiåret blitt en av de virkelig store.

Kryptoprofilen Sam Bankman-Fried, som nå selv etterforskes, etter at kryptobørsen hans FTX kollapset, har overfor Financial Times karakterisert Devasini slik:

- Han er på 24/7. Han håndterer ikke bare kriser eller store muligheter, men den daglige operasjonen. Devasini legger masse stolthet i det han har bygget opp i Bitfinex og Tether (en kryptovaluta tilknyttet Bitfinex). Samtidig blir han irritert av folk han mener slenger dritt om virksomheten hans uten grunn.

Devasini har lest WhatsApp-meldinger med spørsmål fra Dagbladet, men har ikke svart på spørsmålene.

Klagene

Hva er koblingen mellom Bitfinex og den norske nettsvindelen?

Indikasjoner på det finner vi på nettstedet Bitcoin Abuse. Som med nettsteder, er det mulig å klage inn bitcoin-adresser du mener brukes av kriminelle. Nettsteder kan rapporteres til for eksempel Slettmeg.no, mens bitcoin-adresser kan rapporteres til for eksempel Bitcoin Abuse.

Ingen hos Bitcoin Abuse har ønsket å kommentere denne saken.

- VIKTIG: Sebastian Claydon Takle, leder for Financial Cyber Crime-senteret til DNB, sier det er vanskelig - men ikke umulig - å spore kryptotransaksjoner. Han sier kryptovaluta er viktig for kriminelle. Foto: Stig B. Fiksdal / DNB
- VIKTIG: Sebastian Claydon Takle, leder for Financial Cyber Crime-senteret til DNB, sier det er vanskelig - men ikke umulig - å spore kryptotransaksjoner. Han sier kryptovaluta er viktig for kriminelle. Foto: Stig B. Fiksdal / DNB Vis mer

Men i oversikten deres over brukerklager, finner vi at begge Killnet-adressene er klaget inn en rekke ganger. Klagerne oppgir at de to adressene skal ha blitt brukt i grov nettsvindel.

Alle rapportene er anonyme. Men ofrene hevder seg utsatt for følgende:

- Flere former for utpressing

- Investeringsbedrageri, som lurer ofrene med på pyramidespill og liknende

- Hacking med såkalt trojanervirus, som infiserer ofrenes datamaskin

- Såkalt «sextortion», altså utpressing som lurer ofrene til å tro at intime bilder av dem er på avveie.

Flere av klagerne oppgir at de er norske. De påståtte norske ofrene advarer også mot såkalt investeringsbedrageri, der de, lures til å investere i næringsvirksomhet, valutaspekulasjon og pyramidespill som ikke er annet enn lureri. Andre ofre oppgir å bo i USA, Nederland, Indonesia, India og Portugal.

Bitfinex har ikke svart på spørsmål om nettsvindel-selskapene.

­Hit gikk de skjulte pengene

Raser: - Kriminelle jævler

Fra Indonesia rapporterer en av klagerne:

- Jeg har fulgt «du har blitt hacket»-e-postsvindelen. Det har kommet penger til denne kontoen [« hot wallet»-kontoen hos Bitfinex] fra omkring ti andre adresser.

Et offer som oppgir å være fra Norge, er rasende:

- Vær obs på disse kriminelle jævlene. De svindler folk med falske selskaper.

I klagen, som ble sendt inn i september 2019, navngir brukeren to selskaper. Hvorav ett - med navnet OTPFX - påstås å være knyttet til tidligere svindeltransaksjoner. Finanstilsynet i Norge gikk et drøyt år seinere ut og advarte mot det samme selskapet. Selskapets nettsider er nå nede, og det framstår ikke som aktivt lenger.

- Markedsadvarselen på Finanstilsynets nettside er en publisering av en advarsel fra den belgiske tilsynsmyndigheten. Selskapet har heller ikke tillatelse til å yte konsesjonspliktige tjenester i Norge, skriver tilsynsrådgiver Jo Singstad i Finanstilsynet i en e-post.

Dagbladet har forsøkt å få kontakt med OTPFX, uten hell.

Prosjektet er støttet av Dagbladets stiftelse.

Vi bryr oss om ditt personvern

Dagbladet er en del av Aller Media, som er ansvarlig for dine data. Vi bruker dataene til å forbedre og tilpasse tjenestene, tilbudene og annonsene våre.

Vil du vite mer om hvordan du kan endre dine innstillinger, gå til personverninnstillinger

Les mer