Berlin. Cyberkriminelle stehlen Rewe-Bonuspunkte und lösen sie im Markt ein. So läuft die Masche – und so können sich Nutzer schützen.
Bonusprogramme sind fester Bestandteil vieler Supermarktketten. Auch Rewe bietet mit „Rewe Bonus“ ein eigenes Punktesystem an, das Kunden beim Einkauf Ersparnisse ermöglicht. Doch genau dieses System gerät derzeit ins Visier von Cyberkriminellen. Mehrere Nutzer berichten auf der Internetplattform Reddit, dass ihre gesammelten Punkte gestohlen und in Gutscheinkarten umgewandelt wurden.
So funktioniert der Betrug
Wie das IT-Nachrichtenportal „heise online“ berichtet, verschaffen sich die Angreifer zunächst Zugriff auf das Kundenkonto und nutzen die „Gemeinsam sammeln“-Funktion, die es eigentlich erlaubt, das Bonusguthaben mit Familienmitgliedern oder Mitbewohnern zu teilen. Doch statt einer vertrauten Person fügen die Betrüger ihr eigenes Konto hinzu, wodurch sie über das gesamte Guthaben verfügen können. Die Punkte werden dann in einer Rewe-Filiale in Paysafecard-Gutscheine umgewandelt, die sich anonym weiterverkaufen lassen.
Auch interessant
Auffällig ist die Geschwindigkeit der Angriffe: Betroffene berichten, dass zwischen dem unerlaubten Kontozugriff und der Auszahlung nur wenige Minuten vergehen. Eine Reaktion der Opfer ist in dieser kurzen Zeit kaum möglich. Zudem erfolgen die Einlösungen oft in Märkten, die weit entfernt vom Wohnort der eigentlichen Kontoinhaber liegen.
Sicherheitslücke oder gestohlene Zugangsdaten?
„heise online“ untersuchte die Rewe-App und bestätigt, dass die Einladung zum gemeinsamen Punktesammeln nicht ohne mehrere Bestätigungsschritte erfolgen kann. Eine versehentliche oder automatisierte Aktivierung erscheint daher unwahrscheinlich. Allerdings können Angreifer offenbar überprüfen, ob eine E-Mail-Adresse am Bonusprogramm teilnimmt – eine Information, die für gezielte Angriffe genutzt werden könnte.
Rewe selbst weist Vorwürfe zurück, dass eine technische Schwachstelle verantwortlich sei: „Der bei Reddit beschriebene Sachverhalt basiert nicht auf einer Lücke bzw. Leak in unseren Systemen, vielmehr setzen die Betrüger weiterhin auf Phishing und Datensammlungen im DarkWeb“, erläutert Rewe-Sprecher Thomas Bonrath gegenüber „heise Security“. Wer von dem Betrug betroffen ist, sollte umgehend Strafanzeige erstatten. In einigen Fällen hat Rewe das gestohlene Guthaben aus Kulanz ersetzt.
- Vermisstenfall: Rebecca Reusch – „Nicht auszuschließen, dass die Familie die Wahrheit kennt“
- Entführung: Fall Josef Fritzl – Was ist aus der Tochter geworden?
- International gesucht: Das sind die fünf gefährlichsten Frauen der Welt
- Kriminologe: An diesem Detail scheitern die meisten Cold-Case-Ermittler
- Verbrechen: Die drei spektakulärsten Gefängnisausbrüche aller Zeiten
Schutzmaßnahmen für Nutzer
Auch beim Nutzen von Supermarkt-Apps sollten deshalb die wichtigsten Sicherheitsregeln beachtet werden.
- Nutzung von langen Passwörtern
- Verzicht auf Passwort-Wiederverwendung
- Aktivierung der Zwei-Faktor-Authentifizierung
- Einsatz eines Passwort-Managers zur sicheren Verwaltung
Obwohl Rewe betont, dass keine Sicherheitslücke vorliegt, bleiben Fragen offen. Einige Betroffene geben an, bereits starke Passwörter und die Zwei-Faktor-Authentifizierung genutzt zu haben. Auch ist unklar, wie die Angreifer mögliche Schutzmechanismen gegen massenhaftes Durchprobieren von Zugangsdaten umgehen konnten.