Rewe Bonus: Kriminelle erbeuten Treue-Guthaben
von caschy | 19 Kommentare
Die Rewe-Bonus-App steht laut Heise.de-Bericht aktuell im Fokus von Cyberkriminellen. Mehrere Nutzer berichten von einer Betrugsmasche, bei der Unbekannte ihre gesammelten Bonuspunkte stehlen und in Gutscheinkarten umwandeln. Die Handelskette Rewe sieht die Ursache nicht in technischen Schwachstellen, sondern in kompromittierten Zugangsdaten der Nutzer.
Die Vorgehensweise der Betrüger folgt dabei einem Muster: Sie verschaffen sich zunächst Zugriff auf ein Kundenkonto und aktivieren dann die „Gemeinsam sammeln“-Funktion. Diese ermöglicht es eigentlich, das Bonusguthaben mit Familienmitgliedern oder Mitbewohnern zu teilen. Die Kriminellen nutzen diese Funktion jedoch, um sich selbst als Sammelpartner hinzuzufügen und anschließend das komplette Guthaben in Rewe-Filialen in Paysafecard-Gutscheine umzuwandeln.
Besonders bemerkenswert sei die Geschwindigkeit der Angriffe. Die Opfer berichten, dass zwischen dem unerlaubten Kontozugriff und der Guthabenauszahlung oft nur wenige Minuten vergehen. Eine Reaktion ist in dieser kurzen Zeitspanne kaum möglich. Die Auszahlungen erfolgen zudem häufig in Filialen, die weit vom Wohnort der eigentlichen Kontoinhaber entfernt liegen.
Die technische Analyse zeigt, dass die Einladungsfunktion zum gemeinsamen Sammeln mehrere Sicherheitshürden enthält. So muss eine Einladung in der App aktiv durch mehrere Bestätigungsschritte angenommen werden. Eine versehentliche oder automatisierte Aktivierung sei damit ausgeschlossen. Allerdings ermöglicht das System die Überprüfung, ob eine E-Mail-Adresse am Bonusprogramm teilnimmt.
Rewe-Sprecher Thomas Bonrath betonte, dass keine Sicherheitslücke im System vorliege. Stattdessen würden die Täter auf klassisches Phishing und im Darknet verfügbare Zugangsdaten setzen. Betroffenen wird empfohlen, Strafanzeige zu erstatten und die von Rewe angebotene Zwei-Faktor-Authentifizierung zu nutzen. In einigen Fällen hat das Unternehmen gestohlene Guthaben aus Kulanz erstattet.
Trotz der offiziellen Erklärung bleiben Fragen offen. Einige Betroffene versichern, bereits sichere, einzigartige Passwörter und die Zwei-Faktor-Authentifizierung genutzt zu haben. Auch die Umgehung der eingebauten Schutzmechanismen gegen massenhaftes Durchprobieren von Zugangsdaten wirft Fragen auf. Die genauen technischen Hintergründe der Angriffe bleiben vorerst ungeklärt.
| # | Vorschau | Produkt | Preis | |
|---|---|---|---|---|
| 1 |
|
Wrangler Herren Red Kabel Regular Jeans, Black Rinse, 34W / 32L EU |
39,96 EUR |
Bei Amazon ansehen |
| 2 |
|
Wrangler Authentics Men's Regular Flex Jeans, Blue Ocean, 36W / 32L |
49,95 EUR |
Bei Amazon ansehen |
| 3 |
|
Wrangler Herren Red Kabel Straight Jeans, Authentic Blue, 34W / 34L EU |
49,95 EUR |
Bei Amazon ansehen |
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
In den meisten Fällen (wie hier auch) sind die Nutzer selbst schuld….. Nen 08/15 Passwort, verwendet in 30 verschiedenen Accounts, keine 2FA und wild auf jeden Link klicken.
Es gibt mittlerweile so viele gute Passwortmanager die diese Probleme lösen…..
Meine Worte.
haha als die Funktion „gemeinsam sammeln“ letztens ausgerollt wurde, habe ich noch zu Frauchen gesagt, oh man kann hier 2fa aktivieren und das machen wir dann wohl auch mal, denn wenn sich da Guthaben ansammelt wird es demnächst auch angegriffen werden!
Vergessen zu sagen, in drei Tagen können wir hier dann sicherlich lesen dass dann codename ein externer Dienstleister schuld ist, biete 100 wer geht mit?
Gute Erinnerung. Direkt mal 2FA aktiviert.
Wieso braucht es den Workaround mit „gemeinsam sammeln“? Wenn jemand die Zugangsdaten von dem Konto kennt, könnte er sich das Guthaben ja auch direkt mit dem Hauptaccount auszahlen lassen? Das wäre ja sogar unauffälliger, weil der Kontoinhaber keine Mailbenachrichtigung zum gemeinsamen sparen erhält …
Weil du drei Tage zu schnell bist, warte doch bis zu den nächsten News, dort wird dann wahrscheinlich erklärt dass ein externer Dienstleister schuld ist, denn wenn jemand NICHT schuld ist, dann ist es immer jeweils das Unternehmen welches im newstitel genannt wird! xD
Ja, irgendwas stinkt hier.
Vermutung:
Account von Opfer 1 wird mit Account von Opfer 2 verknüpft, um Zugriff auf das Guthaben von 2 Accounts über einen zu haben.
Denke mal nicht, dass die jeweils immer einen „leeren“ Account verknüpfen, nur um dann das Guthaben auszugeben.
Da bleibt dann aber die Frage wenn es nur wenige Minuten zeitfenster für das Vorgehen ist, woher haben sie immer jeweils E-Mail und Passwort von mehreren Leuten welches auch bei Rewe funktioniert, und das Wissen dass dort Guthaben zu holen ist wo es sich lohnt Paysafe zu holen?
Falls es echt so viele Accounts von Leuten gibt die als Passwort 123 auf jeder Webseite selbst nach leaks weiter benutzen, ist es eigentlich eine News für grenzenlose Dummheit und nicht für geklaute Rewe Accounts!
Man sammelt halt neue Erfahrungen nach dem Aus mit Payback, halt zu lasten der Kunden.
Peanuts wie der Vorstand bestimmt sagen würde.
Anders als oft behauptet, scheint sich das Sammeln von REWE-Bonus doch zu rentieren, wenn sich Kriminelle Zugriff auf die Bonus-Konten anderer Leute verschaffen?
Vermutlich hat REWE gar nicht mit einem derartigen Interesse gerechnet? Problematisch wird es bei solchen Systemen immer dann, wenn die Sicherheit zu hoch angesetzt wird und die Usability darunter leidet. Kaum jemand möchte sein Bonus-Konto besser absichern als Fort Knox und beim Einkauf mehrere Sicherheitsmerkmale anwenden müssen. Es soll so einfach wie möglich sein.
Zwischendurch „Standard-Passwort“ und „Fort Knox“ liegt aber auch noch ein bisschen was.
In der Regel wird die 2FA einmalig pro Gerät eingerichtet und muss erst beim Hinzufügen neuer Geräte erneut benutzt werden.
Du musst also nicht fürchten an der Kasse einen DNA-Test abgegen zu müssen, wenn du die App nutzen möchtest
Meine Rewe-App logt mich im Schnitt einmal pro Monat aus. Unabhängig vom Passwort/2FA ist immer nervig, wenn man gerade an der Kasse steht und der QR-Code nicht mehr schnell angezeigt werden kann. Einfach war nur die payback-Karte mit dem Barcode, die App aber nie.
Vorgestern bei Akzenta an der Kasse einfach ausgeloggt. Ich habe fünf Minuten gebraucht um mich wieder anzumelden weil da der Empfang sehr schlecht ist und ich mich erst in das Kunden W-Lan Netz einloggen musste. Mit Plastikkarte wäre das nicht passiert.
Wie sicher ist eigentlich Fort Knox?, 2FA und Gesichtserkennung?
2FA ist nicht sicherer, sondern sogar ein Nachteil.
Wenn der Anbieter normale Passwörter gut implementiert, dann ist das sicher – vorausgesetzt, der Nutzer wird zu entsprechend guten Passwörtern genötigt.
Wenn die Passwortfunktion schlecht implementiert ist, dann ist 2FA wahrscheinlich auch nicht besser. Aber mit 2FA kann der Anbieter einem immer vorwerfen, dass der Fehler auf Nutzerseite liegt.
In dem Fall schiebt der Anbieter ja die Schuld auf die Kunden ab, die behaupten, trotz 2FA betroffen zu sein. Jetzt beweise mal, dass das jemand umgangen hat – keine Chance meistens.
Ich denke hier ist die ganze Funktion im Eimer, am Ende sind die vielen Bestätigungen in der App um das alles zu verknüpfen wahrscheinlich nur per URL mit entsprechenden Argumenten einzustellen. Oder was ähnlich dummes, was man herausfinden kann.
Ein Test der REWE & NETTO Aps bzw. dem Bonusprogramm hat ergeben das m a x i m a l eine Ersparniss von
1 % möglich ist. Also das ganze Theater würde mir (rechnerisch) 1 € oder weniger pro Monat bringen, … nee lass ma.
Ich bin nun echt kein Fan dieser Bonusprogramme, aber das mit dem max. 1% Ersparnis stimmt halt nicht.
Ignorierst du die Apps, zahlst du als REWE / LIDL / etc. Nutzer deutlich mehr als 1% drauf.
Beispiel? Wenn ich einen 30€ Einkauf pro Monat bei PENNY mache, erhalte ich einen 3% Coupon für meinen nächsten Einkauf. Mache ich das dauerhaft so, habe ich einen Basisersparnis von 3%, dazu kommen dann noch die App-Preise und weitere Coupons.