Alarm bei Rewe-App: Betrüger beklauen Kunden mit dreister Masche

1 Min
Julia Gebhardt
Artikel von:
Julia Gebhardt
Punkteklau bei Rewe: Cyberkriminelle plündern Bonuskonten
Kriminelle stehlen derzeit die Punkte-Guthaben von Kunden der Rewe Bonus App. Dazu nutzen sie die Funktion "Gemeinsam Punktesammeln" und Zugangsdaten aus dem Darknet.
Punkteklau bei Rewe: Cyberkriminelle plündern Bonuskonten
Karl-Josef Hildenbrand/dpa

Gibt es eine Sicherheitslücke bei der Rewe Bonus App? Kriminelle nutzen die "Gemeinsam Punktesammeln"-Funktion, um die Konten von Kunden zu plündern. Was Nutzer jetzt beachten müssen.

Die Rewe Bonus App steht derzeit in der Kritik, da eine ihrer nützlichen Funktionen als Sicherheitsrisiko enttarnt wurde. Kriminelle nutzen die Möglichkeit des gemeinsamen Punktesammelns, um unrechtmäßig Zugriff auf die Konten der Nutzer zu nehmen.

Kunden berichten von raschem Verlust ihres Bonusguthabens. Seit Mitte Februar würden sich auf Reddit, einer Social-Media-Plattform, die Meldungen von Rewe-Kunden, deren Bonuspunkte gestohlen wurden häufen, berichtet der BR. Mehr als ein Dutzend Betroffene haben sich laut Heise online innerhalb weniger Tage gemeldet. Das Vorgehen der Diebe ist dabei immer das gleiche: Über die "Gemeinsam sammeln"-Funktion der App verknüpfen sie das Konto des Opfers mit einem fremden. Diese Funktion soll eigentlich ermöglichen, dass Partner oder Mitbewohner Punkte zusammen sammeln.

Rewe Bonus App: Kriminelle plündern Kundenkonten

Handelt es sich also um eine Sicherheitslücke in der App? Die Presseabteilung von Rewe widerspricht dieser Annahme gegenüber Heise, indem sie sowohl ein Datenleck als auch technische Probleme ausschließen. Rewe-Sprecher Thomas Bonrath sagte gegenüber Heise: "Der bei Reddit beschriebene Sachverhalt basiert nicht auf einer Lücke bzw. Leak in unseren Systemen, vielmehr setzen die Betrüger weiterhin auf Phishing und Datensammlungen im DarkWeb".

Recherchen von Heise zeigen, dass bei mehreren Opfern die Zugangsdaten tatsächlich in sogenannten "Combolists" (Listen mit gestohlenen Benutzernamen und Passwörtern) im Darknet zu finden waren. Allerdings bleibt die Vermutung bestehen, dass möglicherweise doch eine Sicherheitslücke in der Rewe App existieren könnte, da sich mehrere Opfer mit sicheren Passwörtern und der Zwei-Faktor-Authentifizierung der App auf heise online berufen."(...)"

Haben die Kriminellen erst Zugang, lassen sie sich das gesamte Punkteguthaben in einer Rewe-Filiale auszahlen. Häufig wird dieses in Form einer Paysafecard ausgezahlt. Wie Heise schreibt, seien solche Karten "nicht zurückverfolgbar und lassen sich leicht auf dem Schwarzmarkt zu Bargeld machen". Verhindern lässt sich der Diebstahl kaum: Der Prozess dauert meist nur wenige Minuten und findet oft in weit entfernten Filialen statt. 

Was können Betroffene also tun? Rewe-Sprecher Thomas Bonrath empfiehlt gegenüber heise Security, dass die Opfer des Punkteklaus Strafanzeige erstatten sollten. Zudem sollten Kunden ihre Versicherungsunterlagen überprüfen: Wie Heise schreibt, übernähmen einige Hausratversicherer "Schäden aus Internet-Betrug, Phishing und Cyberangriffen".