• Home
  • Forum
  • Shop
  • Spenden
  • Podcast
  • Newsletter
Tarnkappe.info Logo 
IT Sicherheit
DatenschutzMalwareOnline-Betrug
Krypto
BlockchainNFT
Szene
Dark-CommerceWarez ListenWarez
Newsticker
  • Home
  • Forum
  • Shop
  • Spenden
  • Podcast
  • Newsletter
 



Tarnkappe.info > Kommentar > REWE Bonus – der feuchte Traum der Betrüger?

REWE Bonus, ein Cyberkrimineller geht für lau einkaufen!
REWE Bonus - Sammle Euros in der REWE App! Hoffentlich kassieren diese nicht Dritte!
Bildquelle: chatgpt.com

REWE Bonus – der feuchte Traum der Betrüger?

21.08.2025 von SourCreamSauce Lesezeit: 11 Min.

Die Zwei-Faktor-Authentifizierung der REWE Bonus-App hält nicht, was sie verspricht: Sicherheit. Sie lässt Kriminellen Hintertüre offen.

Inhalt

  • Alles wurde besser mit dem REWE Bonus?
  • Noch keine entsprechenden Angebote im Graubereich
  • Verantwortungsdiffusion nach Machart eines Einzelhandelskonzerns
  • REWEs neues Antifraud-System macht es den Cyberkriminellen nicht viel schwerer, als zuvor!
  • REWE reagierte ausweichend auf unsere Anfragen
  • Anhang: Presseanfrage und Rückfrage inklusive aller Antworten
  • Fazit zum Thema REWE Bonus-App

Am 29. Dezember 2024 hat sich die Lebensmitteleinzelhandelskette REWE von Payback getrennt. Das Unternehmen brachte ein eigenes System namens „REWE Bonus“ auf den Markt. Wahrscheinlich geschah dies, um selbst Marketing und Kundenanalysen durchführen zu können, ohne von Dritten abhängig zu sein. Payback war zudem durch gleich mehrere Skandale in Verruf geraten. Nicht nur konnten sich Fremde über gephishte Zugangsdaten Geld auf ein beliebiges Bankkonto auszahlen lassen oder die Punkte einlösen. Nein, auch das Aufbuchen auf Miles & More war lange Zeit mit illegal erworbenen Konten und Payback-Punkten möglich.

Durch die Partnerschaft mit dem Werbe- und Kundenbindungsprogramm Payback, das American Express gehört, scheint man doch nicht so gute Erfahrungen gemacht zu haben, wie gehofft. Oder Payback war REWE möglicherweise schlichtweg zu teuer. Ab dem 01. Januar führte man deswegen die REWE Bonus-App ein.

Alles wurde besser mit dem REWE Bonus?

Als REWE-Kunde hatte ich die Hoffnung, dass sich durch das neue Programm Vieles zum Besseren ändert. Insbesondere, dass mein angesammeltes Guthaben vor Betrügern geschützt ist und ich beim Einkauf attraktivere Konditionen bekomme.

Nach einem guten Start kam die Ernüchterung, als REWE Anfang April die Möglichkeiten, prozentuale Rabatte für einen Großeinkauf zu erhalten, massiv eindämmte. Für so manche Kunden hat das Bonusprogramm dadurch erheblich an Attraktivität eingebüßt. Für einen Rabatt-Coupon in Höhe von zehn Prozent musste man plötzlich Waren im Wert von 500 Euro einkaufen, statt wie vorher für €400.

Aber nicht nur das. Jedes Guthaben-System lockt naturgemäß Kriminelle an, die dadurch einfach und schnell an fremdes Geld kommen wollen. Während der Login bei der REWE Bonus-App „glücklicherweise“ (man könnte auch sagen nervigerweise) durch Cloudflare geschützt wird, war das System in der Vergangenheit anfällig für Phishing-Kampagnen. Zumindest sind bei den einschlägig bekannten Foren etc. gleich mehrere Phishing-Datenbanken aufgetaucht, die auch REWE-Kunden betreffen. Cyberkriminelle müssen im Prinzip nichts weiter tun, als gezielt nach den Bons von REWE zu suchen, die sie nach dem Einkauf per E-Mail zugeschickt bekommen.

REWE Bonus Booster. Wer für 50 Euro einkauft, bekommt einen Coupon von 3%.
Der Bonus-Booster von REWE zum Jahresanfang.

Noch keine entsprechenden Angebote im Graubereich

Es ist verwunderlich, dass ich im Graubereich bis jetzt noch auf keine Angebote gestoßen bin, die sich auf einen zielgerichteten Markt für Zugangsdaten für die REWE Bonus-App spezialisiert haben. Verfügbar sind nur die üblichen Mail-Pass-Listen (Erläuterung: Datenbanken mit E-Mail-Adressen der Kunden in Kombination mit ihrem Passwort). Und wie gesagt, wer sucht, stößt mit einfachen REWE-spezifischen Suchbegriffen sofort auf die per E-Mail zugesendeten Kassenzettel. Da es genügend Tools gibt, die E-Mail-Adressen nach bestimmten Keywords durchsuchen und nach einer vordefinierten Anzahl von Checks die IP-Adresse ändern, ist es auch für E-Mail-Anbieter nicht so einfach zu erkennen, dass gerade ein Tool für einen Cyberkriminellen eine E-Mail-Passwort-Liste auf ihre Gültigkeit prüft.

Nach erfolgreicher Suche innerhalb der mittels Phishing erhaltenen Datenbank und dem Finden der Accounts kann man sich ohne zusätzlichen 2FA-Schutz in der App über die „Passwort vergessen“-Funktion eine E-Mail zusenden lassen. Schon ist der Kriminelle im Account drin. Dann kann er das im Account hinterlegte Bonusguthaben im nächsten REWE-Markt für einen illegalen Shoppingtrip nutzen. Oder aber er greift auf einen Läufer (Erklärung: bezahlten Boten) zurück, der für ihn das Risiko übernimmt und dafür etwas vom Einkauf abgeben muss. Üblicherweise behalten Läufer etwa die Hälfte des Warenwertes.

🌞 Surfen und Herunterladen ohne Risiko – die Aktion läuft bald aus!

Das beste No-Logs-VPN mit 27 Monaten Datenschutz.
Jetzt für nur 2,59 €/netto mtl. – anonym, sicher & ohne Unterbrechung surfen, via P2P downloaden und vieles mehr. Inklusive 3 Monate umsonst!

🌞 Jetzt Sonderangebot sichern!*

Preisgarantie: Gleicher Preis & Laufzeit bei jeder Verlängerung.

* Affiliate-Link – du unterstützt unsere Arbeit auch ohne Spende an die Monero-Wallet. Natürlich bleibt der Preis für dich der gleiche!

Verantwortungsdiffusion nach Machart eines Einzelhandelskonzerns

Der Haken an der Sache liegt wie üblich im Detail. Nach mehrmaliger E-Mail-Korrespondenz mit der Presseabteilung der REWE Group teilte man uns mit, dass verkürzt ausgedrückt, die komplette Verantwortung für die Sicherheit beim Kunden liegt. Damit wäre man selbst fein raus. Okay, das war jetzt vielleicht doch etwas zu kurz gefasst.

Die Communication Managerin teilte uns mit, dass der REWE Bonus sicher sei. Wir äußerten unsere Bedenken, weil wir unter einem sicheren 2FA-Verfahren etwas anderes verstehen. Nämlich das Generieren eines Codes mit einer externen App, um sich erfolgreich einzuloggen. Die Marketing-Expertin schrieb uns zurück die „E-Mailkonten der Nutzer:innen (…) betrifft Systeme außerhalb unseres Verantwortungsbereichs.“ Aha. Da sich die Sicherheits-Problematik außerhalb ihres Einflussbereichs befindet, nämlich bei den E-Mail-Anbietern, trägt man für mögliche Betrugsfälle keine Verantwortung mehr? Oder wie sollen wir das jetzt bitteschön verstehen!?

Kostenloser Newsletter

Lesetipps und Glosse bequem ins Postfach - Abonnieren Sie jetzt den kostenlosen Newsletter.

REWEs neues Antifraud-System macht es den Cyberkriminellen nicht viel schwerer, als zuvor!

Der Hintergrund ist schnell erklärt. REWE führt ab dem 27.08.2025 ein zusätzliches „Antifraud-System“ ein, was auf 2FA per E-Mail basieren soll. Wenn Cyberkriminelle aber auf Basis der Phishing-Datenbanken ohnehin Zugriff auf die E-Mail-Accounts haben, können sie ihre falsche Identität darüber problemlos bestätigen. Der Cyberkriminelle hätte nur dann ein Problem, sofern ein Kunde seine Daten innerhalb der Phishing-Datenbanken entdecken und deswegen das Passwort ändern oder beim E-Mail-Anbieter 2FA aktivieren sollte. Ganz ehrlich: So stellen wir uns Sicherheit nicht vor, liebes REWE-Team! Warum nutzt man dafür keine geprüfte App, die den Code bei jedem Login aufs Neue generiert? Wollte man sich etwa die Kosten für SMS-2FA mit einem Anbieter wie Twilio sparen? Oder geht es vielmehr darum, dass der Login nicht zu unbequem sein darf, weil ihnen dann die Kunden davonlaufen?

Heutzutage ist ein 2FA-Verfahren, besonders wenn es um finanzielle Vorteile geht, über einen Authenticator oder aber mindestens eine SMS zwingend erforderlich. Ist es denn wirklich zu viel verlangt, wenn Kunden einen per SMS erhaltenen Code für den Login in die App eintragen? Oder sie dafür alternativ eine zusätzliche App benutzen?

REWE Bonus, der Bonus-Booster erklärt
Seit Jahresmitte muss man merklich mehr einkaufen, um einen Coupon zu erhalten.

REWE reagierte ausweichend auf unsere Anfragen

Am Ende des Beitrags bringen wir die Presseanfrage und Rückfrage plus alle Antworten als vollständiges Zitat. Wir finden, REWE hat bei unseren spezifischen Nachfragen sehr ausweichend reagiert. Da die Kunden beim geplanten System weiterhin ein hohes Risiko eingehen, sollte man sich ernsthaft überlegen, ob man das REWE Bonus-Programm fortsetzen will. Vielleicht wäre es besser, das angesammelte Guthaben beim nächsten Einkauf einzulösen. Dann könnte man entspannt darauf warten, ob der REWE Konzern vielleicht doch noch seine Sicherheitsstrategie zum Besseren ändert.

Unter den gegebenen Umständen besteht die Gefahr, dass man den Phishern ein viel zu leichtes Spiel ermöglicht. Wer weiß schon, ob die eigenen Daten bereits Teil einer illegal erlangten Datenbank sind!? REWE sollte die Sicherheit ihrer Kunden jedes Geld der Welt wert sein. Oder aber sie sollten das Risiko eingehen, dass sich vielleicht ein paar Konsumenten von der Bonus-App abwenden, weil sie für ihren Login eine zusätzliche Authenticator-App benutzen müssen. Fazit: Bequemlichkeit sollte nicht über allem stehen.

Wir sind sehr gespannt, wie es nach dem 27.08.2025 weitergeht. Der nächste Fehler im System wird womöglich nicht lange auf sich warten lassen.

Anhang: Presseanfrage und Rückfrage inklusive aller Antworten

Presseanfrage wegen 2FA bei REWE App – Gesendet: Freitag, der 15. August 2025 um 08:31 Uhr.

Sehr geehrte Damen und Herren,

mein Name ist Lars Sobiraj, ich bin seit fast 20 Jahren als Online-Journalist tätig und führe seit vielen Jahren den Blog Tarnkappe.info mit täglich rund 25.000 Seitenzugriffen und dem Schwerpunkt auf Cyberkriminalität.

Wie ich hörte, führt Ihr Unternehmen ab dem 27.August den Zwang zur mehrfachen Authentifizierung für die REWE App ein. Grundlage bisheriger Missbrauchsfälle war eine durchgesickerte Datenbank mit zahlreichen E-Mail-Adressen und den entsprechenden Zugangsdaten für den Login.

Ab dem 27. August wird es für die Kunden aber weiterhin möglich sein, sich den zusätzlichen Code für den Login über E-Mail-Adresse zu besorgen, mit der sich die Kunden registriert haben. In dem Fall würden die Besitzer der illegalen Datenbank, also die Cyberkriminellen, weiterhin Zugriff auf den Code haben, außer Ihre Kunden haben zwischenzeitlich ihr Passwort geändert, was wahrscheinlich kaum bis gar nicht der Fall sein dürfte.

Meine Presseanfrage: Wie will REWE die Sicherheit der Kunden garantieren, wenn die neue Login-Methode zwar bequem aber weiterhin unsicher ist weil ihre Sicherheit darauf basiert, dass sie ihre Passwörter zwischenzeitlich geändert haben? Über eine zeitnahe Antwort würde ich mich sehr freuen.

Meinen Presseausweis hänge ich Ihnen als Anhang an. MfG!

Antwort vom 2025-08-19 um 14:00 Uhr

Sehr geehrter Herr Sobiraj,

für die Anmeldung in der REWE App benötigt man ein Passwort und für den Zugriff auf den persönlichen E-Mail-Account bei einem Provider braucht man ein Passwort. Bei einem Leak werden üblicherweise Datensätze einer Quelle gehackt. Werden unterschiedliche Passwörter genutzt, was grundsätzlich dringend geboten ist, ist die 2FA eine funktionierende Sicherheitsschwelle, die unberechtigte Zugriffe wirksam erschwert. Verwenden Nutzer:innen für mehrere Apps/Online-Anwendungen ein identisches Kennwort, wodurch Leak-Datensätze auch bei anderen Anwendungen missbräuchlich verwendet werden können, ist das grob fahrlässig und nicht der Verantwortungsbereich von REWE. MfG!

Rückfrage vom 2025-08-18 um 16:23 Uhr

Sehr geehrte Frau **********,

wie kann die REWE Bonus-App sicher sein, wenn Cyberkriminelle mittels der Daten aus dem Leak auch auf die E-Mail-Adresse einiger Kunden zugreifen können, die Sie ja für die Überprüfung nutzen wollen? Die holen sich den Code einfach aus dem Postfach Ihrer Kunden und haben sich somit als echt bestätigt.

Ein 2FA-Verfahren mittels der App Authenticator etc. würde sich doch auch in Ihrem Verantwortungsbereich befinden. Ich kann Ihre Argumentation nicht nachvollziehen. MfG!

Antwort vom 2025-08-19 um 14:00 Uhr

Sehr geehrter Herr Sobiraj,

für die Anmeldung in der REWE App benötigt man ein Passwort und für den Zugriff auf den persönlichen E-Mail-Account bei einem Provider braucht man ein Passwort. Bei einem Leak werden üblicherweise Datensätze einer Quelle gehackt. Werden unterschiedliche Passwörter genutzt, was grundsätzlich dringend geboten ist, ist die 2FA eine funktionierende Sicherheitsschwelle, die unberechtigte Zugriffe wirksam erschwert. Verwenden Nutzer:innen für mehrere Apps/Online-Anwendungen ein identisches Kennwort, wodurch Leak-Datensätze auch bei anderen Anwendungen missbräuchlich verwendet werden können, ist das grob fahrlässig und nicht der Verantwortungsbereich von REWE.

Mit freundlichen Grüßen
**********

Fazit zum Thema REWE Bonus-App

Danach haben wir es, ehrlich gesagt, aufgegeben weitere Anfragen zu verschicken. Der Marketing-Spezialistin von REWE dürfte klar sein, wie hoch der Anteil der Personen ist, die ihre Passwörter gleich mehrfach benutzen. Dazu kommen die Menschen, die sehr kurze Passwörter verwenden oder schlichtweg nur 123456 etc. Ein Fest für Brute-Force-Angriffe!

Natürlich ist das Verhalten der Kunden grob fahrlässig und dennoch sollte man alles Menschenmögliche tun, um für ein Optimum an Sicherheit zu sorgen. Schließlich geht es darum, dass man mit dem angesparten Guthaben von REWE Bonus einkaufen gehen kann. Die REWE-Mitarbeiter an der Kasse können schließlich nicht erkennen, ob der Kunde echt oder ein Cyberkrimineller ist, der sich lediglich auf Kosten Dritter bereichern will.

(*) Alle mit einem Stern gekennzeichneten Links sind Affiliate-Links. Wenn Du über diese Links Produkte oder Abonnements kaufst, erhält Tarnkappe.info eine kleine Provision. Dir entstehen keine zusätzlichen Kosten. Wenn Du die Redaktion anderweitig finanziell unterstützen möchtest, schau doch mal auf unserer Spendenseite oder in unserem Online-Shop vorbei.

19 Kommentare lesen
Mehr zu dem Thema
SourCreamSauce

Über SourCreamSauce

Ich studiere Politikwissenschaft und Japanisch. Vorher habe ich vier Jahre bei der Bundeswehr gedient und hatte dort meine ersten professionellen Berührungspunkte mit IT, im Bereich Netzwerk Aufbau etc.


PlayStation Network: 2FA alleine ist nicht sicher!

PSN-Konto trotz 2FA mehrfach übernommen

Das PSN-Konto von Nicolas Lellouche entriss ein Hacker trotz starkem Passwort und 2FA mehrfach. Hinterher erklärte er ihm, wie das gelang.

Mann mit Schutzhandschuhen prüft anonyme Umschläge

QR-Code-Phishing: Gefahr durch gefälschte Bankbriefe

QR-Code-Phishing voll im Trend. Immer häufiger versuchen Betrüger mit gefälschten Bankbriefen und QR-Codes an unsere Daten zu gelangen.

Malware-Virus auf einem Computerbildschirm (Symbolbild)

NGate: Neue Android-Malware, die NFC-Daten abgreift

Mit Hilfe von Phishing: Die Android-Malware NGate greift NFC-Daten von Zahlungskarten ab und leitet sie an Cyberkriminelle weiter.

Digitale Schatten: Illegale Streams öffnen Hackern das Tor ins Wohnzimmer.

IPTV-Betrug: Studie enthüllt massiven Scam mit Piraten-Streams

Neue Studie deckt auf: 40 % der illegalen Streamer werden Opfer von Betrug. IPTV-Betrug ist ein digitales Risiko.

Betrug per Bitcoin-Paper-Wallets: neue Masche lockt mit Kryptowährung

Betrug per Bitcoin-Paper-Wallets: neue Masche lockt mit Kryptowährung

Bei dem Betrug per Bitcoin-Paper-Wallets liegt das Geld vermeintlich auf der Straße. Phisher wollen dadurch jedoch an Daten und Geld gelangen

phishing, credit card security

Comdirect-Phishing: Wer nicht handelt, soll 80 Euro zahlen!

Die neue Masche dieses Comdirect-Phishings will die Empfänger unter Zeitdruck setzen. Seit Anfang der Woche werden die E-Mails verschickt.

LinkedIn Phishing

LinkedIn Phishing: die neue Spielwiese der Betrüger

LinkedIn Phishing ist ein wachsendes Problem. Das Netzwerk wurde zu einem guten Einstiegspunkt, um betrügerische Nachrichten zu verschicken.

Supply-Chain-Angriff: NPM-Pakete mit 2,6 Milliarden Downloads pro Woche infiziert

Angreifer haben durch einen Malware in NPM-Pakete eingeschleust, die wöchentlich über 2,6 Milliarden Mal heruntergeladen werden.

Ein Hacker, umgeben von holografischem Code und KI-Symbolen, nutzt den KI-Chatbot GhostGPT (Symbolbild)

KI-Chatbot GhostGPT: Eine neue Wunderwaffe für Cyberkriminelle

Cyberkriminelle setzen zunehmend auf KI: GhostGPT erstellt in Sekundenschnelle fiese Malware und raffinierte Phishing-Mails.

REWE Bonus, IT-Sicherheit bei REWE

REWE Bonus – der Punkteklau geht in die nächste Runde!

Man hatte vollmundig angekündigt, die Accounts der REWE Bonus-Kunden mittels 2FA ordentlich schützen zu wollen. Doch das ist nicht passiert.

Mit einem Phishing-Angriff per Mail können Kriminelle unter anderem Zugangsdaten fürs Online-Banking ergaunern.

Phishing-Angriff per Mail: ING-, comdirect-, Volksbank- und Postbank-Kunden im Visier

Im Namen von ING DiBa und weiteren Banken unternehmen Kriminelle vermehrt fiese Phishing-Angriffe per Mail.

E-Mail

mailbox.org 2FA im Fokus: Wann wird es endlich so bequem wie sicher?

Nur die Teilnehmer des Beta-Programms können beim Berliner E-Mail-Anbieter mailbox.org die einfache 2FA-Nutzung in Anspruch nehmen. Warum?

Darstellung eines gerissenen Cyber-Diebs, der Nutzer online per Phishing-Mails betrügt

Phishing-Mails AOK Rückzahlung: Vorsicht vor dieser neuen Masche

Phishing-Mails verheißen eine AOK-Rückzahlung über eine größere Geldsumme. Hinter dem unerwarteten Geldregen steckt jedoch Phishing-Betrug.

Hackerpaar arbeitet an Betrugs-Masche

Vorwerk-Thermomix TM6-Angebot für 1,95 € entpuppt sich als Betrug

Mit Verweis auf eine Hintertür bei Vorwerk preist eine vermeintlich ehemalige Mitarbeiterin ein Thermomix TM6-Angebot für nur 1,95 € an.

Moderne Gefahr durch künstliche Intelligenz: Ein Rentner wird Opfer eines KI-gestützten Bankbetrugs

Bankbetrug durch KI: Rentner im Visier digitaler Betrüger

Ein Rentner wird zum Opfer von KI-gestütztem Bankbetrug. Wie die Täter vorgehen und was man tun kann, um sich zu schützen, erfahrt ihr hier.

Cloudflare-Warnung gegen KickAssAnime (Symbolbild)

Cloudflare-Warnung gegen KickAssAnime: Rufmord oder reale Gefahr?

KickAssAnime wurde von Cloudflare als Phishing-Seite markiert - berechtigte Warnung oder eine gezielter Rufmord?

Z-Library warnt seine Nutzer vor Betrug

Der große Z-Library-Betrug: Millionen in die Phishing-Falle gelockt

Achtung! Betrug mit Z-Library: Eine gefälschte Website hat Millionen von Nutzern betrogen und ihre persönlichen Daten gestohlen.

Phishing-Angriffe gedeihen bei schwacher Authentifizierung – Banken in der Verantwortung.

Sparkasse haftet für Phishing-Schaden trotz grober Fahrlässigkeit urteilt OLG Dresden

Sparkasse haftet für Phishing-Schaden trotz grober Fahrlässigkeit des Kunden – OLG Dresden sieht Mitverschulden.

WerbungÜber unsKontaktPressespiegel
Kategorien
RezensionenGlosseInternJurassic PackDrachenlordLesetipps
Social Media

Impressum Datenschutz

Tarnkappe.info Logo

© 2014-2024 Tarnkappe.info

ZURÜCK  WEITER
Jetzt Newsletter abonnieren