Die Rewe Bonus App verspricht, das Einkaufen bequemer zu machen: Rabatte aktivieren, Punkte sammeln und am Ende bares Geld sparen. Doch was für Kunden praktisch ist, lockt auch Cyberkriminelle an. Wie eine aktuelle Recherche von Heise online (externer Link, möglicherweise Bezahlinhalt) zeigt, haben Betrüger eine Methode gefunden, sich die mühsam gesammelten Bonuspunkte unter den Nagel zu reißen. Und das geht erschreckend einfach. Schwache Passwörter und Phishing ermöglichen den Cyberdiebstahl.
Kunden verlieren ihr Bonusguthaben binnen Minuten
Seit Mitte Februar häufen sich auf der Social-Media-Plattform Reddit die Berichte von Rewe-Kunden, deren Bonuspunkte gestohlen wurden. Laut Heise online meldeten sich innerhalb weniger Tage mehr als ein Dutzend Geschädigte. Der Ablauf ist dabei stets der gleiche: Die Täter verbinden über die "Gemeinsam sammeln"-Funktion der App das Konto des Opfers mit einem fremden Konto. Diese Funktion ist eigentlich dafür gedacht, dass etwa Partner oder Mitbewohner gemeinsam Punkte sammeln können.
🎧 Wie verändert KI unser Leben? Und welche KI-Programme sind in meinem Alltag wirklich wichtig? Antworten auf diese und weitere Fragen diskutieren Gregor Schmalzried, Marie Kilg und Fritz Espenlaub jede Woche in Der KI-Podcast – dem Podcast von BR24 und SWR.
Die Kriminellen missbrauchen sie jedoch, um sich Zugriff auf fremde Guthaben zu verschaffen. Anschließend wird das gesamte Punkteguthaben in einer Rewe-Filiale ausgezahlt - meist zum Kauf einer Paysafecard, die sich leicht zu Geld machen lässt. Die Geschädigten haben keine Chance einzugreifen: Der gesamte Vorgang dauert nur wenige Minuten und findet oft in weit entfernten Filialen statt.
Wie die Betrüger an die Punkte kommen
Auf den ersten Blick klingt es nach einer Sicherheitslücke in der App. Doch Rewe dementiert: Es gebe weder ein Datenleck noch technische Probleme. Stattdessen nutzen die Kriminellen eine simple aber effektive Methode - sie greifen auf im Darknet kursierende Zugangsdaten zurück oder erschleichen sich diese durch Phishing.
Die heise-Recherche zeigt: Bei mehreren Opfern waren die Zugangsdaten tatsächlich in sogenannten "Combolists" im Darknet zu finden - Listen mit gestohlenen Benutzernamen und Passwörtern. Dennoch bleibt Zweifel, ob es sich nicht doch um eine Sicherheitslücke in der Rewe App handeln könnte. Heise online beruft sich auf mehrere Opfer, die angeben, sichere Passwörter und das Zwei-Faktor-System der App zu nutzen.
Auch kleine Guthaben sind für Kriminelle interessant
Was für den einzelnen Kunden nach einem kleinen Verlust aussieht, summiert sich für die Täter: Sie gehen hochprofessionell vor und nutzen automatisierte Methoden, um massenhaft Zugangsdaten durchzuprobieren. Irgendwo werden sie dabei immer fündig. Die erbeuteten Bonuspunkte wandeln sie dann blitzschnell in Paysafecards oder andere Gutscheine um. Diese lassen sich im Darknet zu Bargeld machen - zwar mit Verlust, aber dafür ohne Risiko erwischt zu werden. Ein perfektes System für die Täter: Kleine Beträge summieren sich, die Opfer merken den Diebstahl oft erst Tage später, und die Spuren verlieren sich im digitalen Nirgendwo.
Was Rewe-Bonus-Nutzer jetzt wissen müssen
Wer die Rewe Bonus App nutzt, sollte jetzt besonders aufmerksam sein. Ein wichtiges Warnsignal: Taucht plötzlich ein unbekannter "Sammelpartner" im Konto auf, ist höchste Eile geboten. Auch verschwundene Punkte sind natürlich ein Alarmzeichen - dann ist es aber meist schon zu spät. Der beste Schutz ist ein sicheres Passwort, das man nirgendwo sonst verwendet.
Die Annahme, ein Bonusprogramm sei "nicht so wichtig", machen sich die Täter zunutze. Wer auf Nummer sicher gehen will, aktiviert am besten die Zwei-Faktor-Authentifizierung. Dann brauchen die Betrüger neben dem Passwort auch noch Zugriff aufs Smartphone, um ins Konto zu kommen.
Diese Optionen haben betroffene Kunden
Wurde man Opfer eines Punktediebstahls, kann man den Rewe-Kundenservice kontaktieren. Die gute Nachricht ist, dass Rewe das Problem kennt - die weniger gute, dass offenbar nicht alle Betroffenen ihr Guthaben zurückbekommen. Wie heise online berichtet, erstattet das Unternehmen in manchen Fällen die gestohlenen Punkte aus Kulanz. Eine Garantie gibt es dafür aber nicht.
Doch bis alle Kunden ihre Konten mit der Zwei-Faktor-Authentifizierung abgesichert haben, dürfte die Betrugsmasche weitergehen. Die Empfehlung der Sicherheitsexperten von heise online ist daher eindeutig: Wer die Bonus App nutzt, sollte nicht nur regelmäßig sein Guthaben kontrollieren, sondern vor allem ein sicheres Passwort verwenden - auch wenn es sich "nur" um Treuepunkte handelt.
Ich möchte eingebundene Inhalte von der European Broadcasting Union (EBU) in BR24 sehen. Hierbei werden personenbezogene Daten (IP-Adresse o.ä.) an die EBU übertragen. Diese Einstellung kann jederzeit mit Wirkung für die Zukunft in den Datenschutzeinstellungen geändert werden. Falls Sie einen Ad-Blocker verwenden, müssen Sie dort ggf. BR.de als Ausnahme hinzufügen, damit die Datenschutzeinstellungen angezeigt werden können.
Das ist die Europäische Perspektive bei BR24.
"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!