Loyalty-Programme und das Sammeln von Bonuspunkten sind inzwischen in vielen Supermärkten, Drogerien und sonstigen Geschäften üblich geworden. Und immer mehr Einzelhandelsketten haben eigene Apps für die Kund:innen. Doch gerade das neue Bonusprogramm der Rewe-Gruppe hat offenbar eine neue Betrugsmasche hervorgebracht, die aktuell häufiger angewandt wird.

So berichteten unter anderem auf der Plattform Reddit Verbraucher:innen darüber, dass es Betrugsfälle bei Rewe Bonus gibt, im Rahmen derer das Punktekonto leergeräumt und die Punkte gestohlen werden. Auch Heise bestätigt, im Rahmen der Recherche recht schnell auf entsprechende Fälle gestoßen zu sein.

Möglich wird der Betrug über zwei Schritte: Zum einen werden wohl auf eine der üblichen Weisen – Phishing, anhand anderer Login-Passwort-Kombinationen aus Datenbanken Ausprobieren oder Erraten – die Zugangsdaten des jeweiligen Kontos erbeutet. Danach werden die Punkte im Rahmen der „Gemeinsam Sammeln“-Funktion auf ein anderes Konto übertragen. Diese Funktion dient eigentlich dazu, dass Familienmitglieder die gemeinsam gesammelten Punkte beim Einkauf einlösen können.

Betrüger:innen verbinden dabei die jeweiligen Konten und verschieben danach die gesammelten Punkte aufs eigene Konto. Im nächsten Schritt werden die Punkte dann beispielsweise zum Kauf von Gutscheinkarten wie Paysafecard oder Aufladekarten für Mobilfunktarife genutzt. Diese werden dann offenbar in einigen Fällen auch über Kleinanzeigen und andere Portale weiterverkauft.

Bemerkenswert ist offenbar die Geschwindigkeit, mit der all das abläuft. Denn zwischen dem Verbinden der Konten und dem Leerräumen der Punktekonten liegen oft nur wenige Minuten. Immerhin lässt sich über einige Tricks ermitteln, ob eine Mailadresse für das Programm registriert ist. Hat man diese Information, kann man gezielt über Datenbanken von früheren Leaks suchen – denn viele Nutzer:innen verwenden oftmals über Jahre dieselben Login-Passwort-Kombinationen für eine Vielzahl an Apps und Diensten und machen es Betrüger:innen dadurch allzu leicht.

Hier könnte Rewe gegebenenfalls Vorkehrungen treffen, etwa auf verpflichtende Zwei-Faktor-Authentifizierung setzen, denn ansonsten trifft das Unternehmen selbst in diesem Fall kaum eine Schuld. Bemerkenswert und mustergültig gelöst ist das Prozedere der Einladungen und Annahme der Kontoverknüpfung, das mehrere Schritte erfordert. „Der bei Reddit beschriebene Sachverhalt basiert nicht auf einer Lücke beziehungsweise Leak in unseren Systemen, vielmehr setzen die Betrüger weiterhin auf Phishing und Datensammlungen im Darkweb“, erläutert ein Rewe-Sprecher gegenüber Heise.

Allerdings gibt es offenbar auch einige Fälle, in denen ausreichend sichere Passwortkombinationen oder gar die Zwei-Faktor-Authentifizierung zum Einsatz kamen. Wie hier vorgegangen wurde, bleibt im Dunkeln. Rewe rät hier Geschädigten dazu, Anzeige gegen Unbekannt zu erstatten. Interessant auch: Einige Hausratversicherungen übernehmen derartige Betrugsschäden aus Internet-Betrug, Phishing oder Cyberangriffen – und offenbar hat Rewe in einzelnen Fällen auch die Punkte erstattet.

Generell kann man Nutzer:innen daher im Hinblick auf ihre Passwortwahl und die Absicherung ihrer App-Konten empfehlen, ein komplexes Passwort aus Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen zu wählen und dieses regelmäßig zu wechseln. Zusätzlich sollte ein zweiter Faktor verwendet werden, etwa über den Google Authenticator oder ein vergleichbares Tool. Ein Passwortmanager kann dabei eine Lösung sein, sofern dieser als sicher erachtet wird und man daher möglichst komplexe Passwortkombinationen wählt, die nicht erraten werden können oder wiederverwendet werden.

Insbesondere Login-Passwort-Kombinationen, die in einem oder mehr Fällen bei einem Leak aufgetaucht sind, sollten nämlich vermieden werden. Hier gibt es riesige aufbereitete Datenbanken, die Betrüger:innen zügig und mit vergleichbar geringem Aufwand durchprobieren können. Verbraucher:innen sollten dazu immer mal wieder über „Have I been pwned?“ prüfen, wo sie „aufgeflogen“ sind. Das würde allerdings voraussetzen, dass Rewe hier zu wenig tut, um das Durchprobieren von Zugängen zu verhindern.