Anfang dieses Jahres führte Rewe ein eigenes Bonusprogramm ein.
Kunden können beim Kauf bestimmter Artikel Bonuspunkte sammeln, die später in Euro umgewandelt werden können.
Für manche Produkte gibt es 10 oder 20 Cent, für andere auch 1 Euro oder mehr.
Es sind mehrere hundert Artikel im Programm, die regelmäßig wechseln.
Nun haben Betrüger eine Schwachstelle in der App entdeckt: die „Gemeinsam sammeln“-Funktion, die eigentlich für Familien oder Wohngemeinschaften gedacht ist, um gemeinsam Punkte zu sammeln.
Zuerst berichtete das Online-Portal „Heise.de“ über den Vorfall, und auch FOCUS Online sind inzwischen mindestens zehn Fälle bekannt.
So funktioniert der Betrug:
Betrüger greifen schnell auf die Konten von Rewe-Kundinnen und -Kunden zu.
Sie stehlen die Zugangsdaten und nutzen die „Gemeinsam sammeln“-Funktion, um ihr eigenes Konto mit dem Konto des Opfers zu verknüpfen.
Kurz darauf erhält das Opfer eine E-Mail, in der es darüber informiert wird, dass eine weitere Person hinzugefügt wurde und das Punktekonto nun gemeinsam genutzt wird.
In den folgenden Minuten lösen die Täter die gesammelten Punkte in einer Rewe-Filiale ein, meist in Form von Gutscheinkarten oder Paysafecards, die schwer nachverfolgbar sind.
Oft merken die Opfer erst spät, dass ihre Punkte weg sind, manchmal sogar, wenn sie sich nicht mehr in der Stadt aufhalten, in der die Auszahlung erfolgte.
Schutzmaßnahmen:
Um sich zu schützen, rät FOCUS Online dazu, die Passwörter sofort zu ändern und dabei auf komplexe, schwer zu erratende Kombinationen zu achten.
Zusätzlich sollte die Zwei-Faktor-Authentifizierung aktiviert werden.
Dabei wird ein Code verschickt, den man dann eingeben kann, um sich in die Rewe-Bonus-Welt einzuloggen.
Was sagt Rewe zu dem Angriff?
Das Unternehmen erklärt, dass die Betrüger keine Sicherheitslücken ausnutzen, sondern gestohlene Daten verwenden, die im Darknet gehandelt werden.
E-Mail-Adressen und Passwörter der Opfer könnten bereits dort verfügbar sein.
Mit diesen Daten fügen sich die Täter als Partner in die betroffenen Konten ein und stehlen das Bonusguthaben.
Um zu überprüfen, ob die eigene E-Mail-Adresse im Darknet kursiert, können folgende Seiten hilfreich sein:
Kunden können beim Kauf bestimmter Artikel Bonuspunkte sammeln, die später in Euro umgewandelt werden können.
Für manche Produkte gibt es 10 oder 20 Cent, für andere auch 1 Euro oder mehr.
Es sind mehrere hundert Artikel im Programm, die regelmäßig wechseln.
Nun haben Betrüger eine Schwachstelle in der App entdeckt: die „Gemeinsam sammeln“-Funktion, die eigentlich für Familien oder Wohngemeinschaften gedacht ist, um gemeinsam Punkte zu sammeln.
Zuerst berichtete das Online-Portal „Heise.de“ über den Vorfall, und auch FOCUS Online sind inzwischen mindestens zehn Fälle bekannt.
So funktioniert der Betrug:
Betrüger greifen schnell auf die Konten von Rewe-Kundinnen und -Kunden zu.
Sie stehlen die Zugangsdaten und nutzen die „Gemeinsam sammeln“-Funktion, um ihr eigenes Konto mit dem Konto des Opfers zu verknüpfen.
Kurz darauf erhält das Opfer eine E-Mail, in der es darüber informiert wird, dass eine weitere Person hinzugefügt wurde und das Punktekonto nun gemeinsam genutzt wird.
In den folgenden Minuten lösen die Täter die gesammelten Punkte in einer Rewe-Filiale ein, meist in Form von Gutscheinkarten oder Paysafecards, die schwer nachverfolgbar sind.
Oft merken die Opfer erst spät, dass ihre Punkte weg sind, manchmal sogar, wenn sie sich nicht mehr in der Stadt aufhalten, in der die Auszahlung erfolgte.
Schutzmaßnahmen:
Um sich zu schützen, rät FOCUS Online dazu, die Passwörter sofort zu ändern und dabei auf komplexe, schwer zu erratende Kombinationen zu achten.
Zusätzlich sollte die Zwei-Faktor-Authentifizierung aktiviert werden.
Dabei wird ein Code verschickt, den man dann eingeben kann, um sich in die Rewe-Bonus-Welt einzuloggen.
Was sagt Rewe zu dem Angriff?
Das Unternehmen erklärt, dass die Betrüger keine Sicherheitslücken ausnutzen, sondern gestohlene Daten verwenden, die im Darknet gehandelt werden.
E-Mail-Adressen und Passwörter der Opfer könnten bereits dort verfügbar sein.
Mit diesen Daten fügen sich die Täter als Partner in die betroffenen Konten ein und stehlen das Bonusguthaben.
Um zu überprüfen, ob die eigene E-Mail-Adresse im Darknet kursiert, können folgende Seiten hilfreich sein:
