• Home
  • Forum
  • Shop
  • Spenden
  • Podcast
  • Newsletter
Tarnkappe.info Logo 
IT Sicherheit
DatenschutzMalwareOnline-Betrug
Krypto
BlockchainNFT
Szene
Dark-CommerceWarez ListenWarez
Newsticker
  • Home
  • Forum
  • Shop
  • Spenden
  • Podcast
  • Newsletter
 



Tarnkappe.info > Kommentar > REWE Bonus – der feuchte Traum der Betrüger?

REWE Bonus, ein Cyberkrimineller geht für lau einkaufen!
REWE Bonus - Sammle Euros in der REWE App! Hoffentlich kassieren diese nicht Dritte!
Bildquelle: chatgpt.com

REWE Bonus – der feuchte Traum der Betrüger?

21.08.2025 von SourCreamSauce Lesezeit: 11 Min.

Die Zwei-Faktor-Authentifizierung der REWE Bonus-App hält nicht, was sie verspricht: Sicherheit. Sie lässt Kriminellen Hintertüre offen.

Inhalt

  • Alles wurde besser mit dem REWE Bonus?
  • Noch keine entsprechenden Angebote im Graubereich
  • Verantwortungsdiffusion nach Machart eines Einzelhandelskonzerns
  • REWEs neues Antifraud-System macht es den Cyberkriminellen nicht viel schwerer, als zuvor!
  • REWE reagierte ausweichend auf unsere Anfragen
  • Anhang: Presseanfrage und Rückfrage inklusive aller Antworten
  • Fazit zum Thema REWE Bonus-App

Am 29. Dezember 2024 hat sich die Lebensmitteleinzelhandelskette REWE von Payback getrennt. Das Unternehmen brachte ein eigenes System namens „REWE Bonus“ auf den Markt. Wahrscheinlich geschah dies, um selbst Marketing und Kundenanalysen durchführen zu können, ohne von Dritten abhängig zu sein. Payback war zudem durch gleich mehrere Skandale in Verruf geraten. Nicht nur konnten sich Fremde über gephishte Zugangsdaten Geld auf ein beliebiges Bankkonto auszahlen lassen oder die Punkte einlösen. Nein, auch das Aufbuchen auf Miles & More war lange Zeit mit illegal erworbenen Konten und Payback-Punkten möglich.

Durch die Partnerschaft mit dem Werbe- und Kundenbindungsprogramm Payback, das American Express gehört, scheint man doch nicht so gute Erfahrungen gemacht zu haben, wie gehofft. Oder Payback war REWE möglicherweise schlichtweg zu teuer. Ab dem 01. Januar führte man deswegen die REWE Bonus-App ein.

Alles wurde besser mit dem REWE Bonus?

Als REWE-Kunde hatte ich die Hoffnung, dass sich durch das neue Programm Vieles zum Besseren ändert. Insbesondere, dass mein angesammeltes Guthaben vor Betrügern geschützt ist und ich beim Einkauf attraktivere Konditionen bekomme.

Nach einem guten Start kam die Ernüchterung, als REWE Anfang April die Möglichkeiten, prozentuale Rabatte für einen Großeinkauf zu erhalten, massiv eindämmte. Für so manche Kunden hat das Bonusprogramm dadurch erheblich an Attraktivität eingebüßt. Für einen Rabatt-Coupon in Höhe von zehn Prozent musste man plötzlich Waren im Wert von 500 Euro einkaufen, statt wie vorher für €400.

Aber nicht nur das. Jedes Guthaben-System lockt naturgemäß Kriminelle an, die dadurch einfach und schnell an fremdes Geld kommen wollen. Während der Login bei der REWE Bonus-App „glücklicherweise“ (man könnte auch sagen nervigerweise) durch Cloudflare geschützt wird, war das System in der Vergangenheit anfällig für Phishing-Kampagnen. Zumindest sind bei den einschlägig bekannten Foren etc. gleich mehrere Phishing-Datenbanken aufgetaucht, die auch REWE-Kunden betreffen. Cyberkriminelle müssen im Prinzip nichts weiter tun, als gezielt nach den Bons von REWE zu suchen, die sie nach dem Einkauf per E-Mail zugeschickt bekommen.

REWE Bonus Booster. Wer für 50 Euro einkauft, bekommt einen Coupon von 3%.
Der Bonus-Booster von REWE zum Jahresanfang.

Noch keine entsprechenden Angebote im Graubereich

Es ist verwunderlich, dass ich im Graubereich bis jetzt noch auf keine Angebote gestoßen bin, die sich auf einen zielgerichteten Markt für Zugangsdaten für die REWE Bonus-App spezialisiert haben. Verfügbar sind nur die üblichen Mail-Pass-Listen (Erläuterung: Datenbanken mit E-Mail-Adressen der Kunden in Kombination mit ihrem Passwort). Und wie gesagt, wer sucht, stößt mit einfachen REWE-spezifischen Suchbegriffen sofort auf die per E-Mail zugesendeten Kassenzettel. Da es genügend Tools gibt, die E-Mail-Adressen nach bestimmten Keywords durchsuchen und nach einer vordefinierten Anzahl von Checks die IP-Adresse ändern, ist es auch für E-Mail-Anbieter nicht so einfach zu erkennen, dass gerade ein Tool für einen Cyberkriminellen eine E-Mail-Passwort-Liste auf ihre Gültigkeit prüft.

Nach erfolgreicher Suche innerhalb der mittels Phishing erhaltenen Datenbank und dem Finden der Accounts kann man sich ohne zusätzlichen 2FA-Schutz in der App über die „Passwort vergessen“-Funktion eine E-Mail zusenden lassen. Schon ist der Kriminelle im Account drin. Dann kann er das im Account hinterlegte Bonusguthaben im nächsten REWE-Markt für einen illegalen Shoppingtrip nutzen. Oder aber er greift auf einen Läufer (Erklärung: bezahlten Boten) zurück, der für ihn das Risiko übernimmt und dafür etwas vom Einkauf abgeben muss. Üblicherweise behalten Läufer etwa die Hälfte des Warenwertes.

🌞 Surfen und Herunterladen ohne Risiko – die Aktion läuft bald aus!

Das beste No-Logs-VPN mit 27 Monaten Datenschutz.
Jetzt für nur 2,59 €/netto mtl. – anonym, sicher & ohne Unterbrechung surfen, via P2P downloaden und vieles mehr. Inklusive 3 Monate umsonst!

🌞 Jetzt Sonderangebot sichern!*

Preisgarantie: Gleicher Preis & Laufzeit bei jeder Verlängerung.

* Affiliate-Link – du unterstützt unsere Arbeit auch ohne Spende an die Monero-Wallet. Natürlich bleibt der Preis für dich der gleiche!

Verantwortungsdiffusion nach Machart eines Einzelhandelskonzerns

Der Haken an der Sache liegt wie üblich im Detail. Nach mehrmaliger E-Mail-Korrespondenz mit der Presseabteilung der REWE Group teilte man uns mit, dass verkürzt ausgedrückt, die komplette Verantwortung für die Sicherheit beim Kunden liegt. Damit wäre man selbst fein raus. Okay, das war jetzt vielleicht doch etwas zu kurz gefasst.

Die Communication Managerin teilte uns mit, dass der REWE Bonus sicher sei. Wir äußerten unsere Bedenken, weil wir unter einem sicheren 2FA-Verfahren etwas anderes verstehen. Nämlich das Generieren eines Codes mit einer externen App, um sich erfolgreich einzuloggen. Die Marketing-Expertin schrieb uns zurück die „E-Mailkonten der Nutzer:innen (…) betrifft Systeme außerhalb unseres Verantwortungsbereichs.“ Aha. Da sich die Sicherheits-Problematik außerhalb ihres Einflussbereichs befindet, nämlich bei den E-Mail-Anbietern, trägt man für mögliche Betrugsfälle keine Verantwortung mehr? Oder wie sollen wir das jetzt bitteschön verstehen!?

Kostenloser Newsletter

Lesetipps und Glosse bequem ins Postfach - Abonnieren Sie jetzt den kostenlosen Newsletter.

REWEs neues Antifraud-System macht es den Cyberkriminellen nicht viel schwerer, als zuvor!

Der Hintergrund ist schnell erklärt. REWE führt ab dem 27.08.2025 ein zusätzliches „Antifraud-System“ ein, was auf 2FA per E-Mail basieren soll. Wenn Cyberkriminelle aber auf Basis der Phishing-Datenbanken ohnehin Zugriff auf die E-Mail-Accounts haben, können sie ihre falsche Identität darüber problemlos bestätigen. Der Cyberkriminelle hätte nur dann ein Problem, sofern ein Kunde seine Daten innerhalb der Phishing-Datenbanken entdecken und deswegen das Passwort ändern oder beim E-Mail-Anbieter 2FA aktivieren sollte. Ganz ehrlich: So stellen wir uns Sicherheit nicht vor, liebes REWE-Team! Warum nutzt man dafür keine geprüfte App, die den Code bei jedem Login aufs Neue generiert? Wollte man sich etwa die Kosten für SMS-2FA mit einem Anbieter wie Twilio sparen? Oder geht es vielmehr darum, dass der Login nicht zu unbequem sein darf, weil ihnen dann die Kunden davonlaufen?

Heutzutage ist ein 2FA-Verfahren, besonders wenn es um finanzielle Vorteile geht, über einen Authenticator oder aber mindestens eine SMS zwingend erforderlich. Ist es denn wirklich zu viel verlangt, wenn Kunden einen per SMS erhaltenen Code für den Login in die App eintragen? Oder sie dafür alternativ eine zusätzliche App benutzen?

REWE Bonus, der Bonus-Booster erklärt
Seit Jahresmitte muss man merklich mehr einkaufen, um einen Coupon zu erhalten.

REWE reagierte ausweichend auf unsere Anfragen

Am Ende des Beitrags bringen wir die Presseanfrage und Rückfrage plus alle Antworten als vollständiges Zitat. Wir finden, REWE hat bei unseren spezifischen Nachfragen sehr ausweichend reagiert. Da die Kunden beim geplanten System weiterhin ein hohes Risiko eingehen, sollte man sich ernsthaft überlegen, ob man das REWE Bonus-Programm fortsetzen will. Vielleicht wäre es besser, das angesammelte Guthaben beim nächsten Einkauf einzulösen. Dann könnte man entspannt darauf warten, ob der REWE Konzern vielleicht doch noch seine Sicherheitsstrategie zum Besseren ändert.

Unter den gegebenen Umständen besteht die Gefahr, dass man den Phishern ein viel zu leichtes Spiel ermöglicht. Wer weiß schon, ob die eigenen Daten bereits Teil einer illegal erlangten Datenbank sind!? REWE sollte die Sicherheit ihrer Kunden jedes Geld der Welt wert sein. Oder aber sie sollten das Risiko eingehen, dass sich vielleicht ein paar Konsumenten von der Bonus-App abwenden, weil sie für ihren Login eine zusätzliche Authenticator-App benutzen müssen. Fazit: Bequemlichkeit sollte nicht über allem stehen.

Wir sind sehr gespannt, wie es nach dem 27.08.2025 weitergeht. Der nächste Fehler im System wird womöglich nicht lange auf sich warten lassen.

Anhang: Presseanfrage und Rückfrage inklusive aller Antworten

Presseanfrage wegen 2FA bei REWE App – Gesendet: Freitag, der 15. August 2025 um 08:31 Uhr.

Sehr geehrte Damen und Herren,

mein Name ist Lars Sobiraj, ich bin seit fast 20 Jahren als Online-Journalist tätig und führe seit vielen Jahren den Blog Tarnkappe.info mit täglich rund 25.000 Seitenzugriffen und dem Schwerpunkt auf Cyberkriminalität.

Wie ich hörte, führt Ihr Unternehmen ab dem 27.August den Zwang zur mehrfachen Authentifizierung für die REWE App ein. Grundlage bisheriger Missbrauchsfälle war eine durchgesickerte Datenbank mit zahlreichen E-Mail-Adressen und den entsprechenden Zugangsdaten für den Login.

Ab dem 27. August wird es für die Kunden aber weiterhin möglich sein, sich den zusätzlichen Code für den Login über E-Mail-Adresse zu besorgen, mit der sich die Kunden registriert haben. In dem Fall würden die Besitzer der illegalen Datenbank, also die Cyberkriminellen, weiterhin Zugriff auf den Code haben, außer Ihre Kunden haben zwischenzeitlich ihr Passwort geändert, was wahrscheinlich kaum bis gar nicht der Fall sein dürfte.

Meine Presseanfrage: Wie will REWE die Sicherheit der Kunden garantieren, wenn die neue Login-Methode zwar bequem aber weiterhin unsicher ist weil ihre Sicherheit darauf basiert, dass sie ihre Passwörter zwischenzeitlich geändert haben? Über eine zeitnahe Antwort würde ich mich sehr freuen.

Meinen Presseausweis hänge ich Ihnen als Anhang an. MfG!

Antwort vom 2025-08-19 um 14:00 Uhr

Sehr geehrter Herr Sobiraj,

für die Anmeldung in der REWE App benötigt man ein Passwort und für den Zugriff auf den persönlichen E-Mail-Account bei einem Provider braucht man ein Passwort. Bei einem Leak werden üblicherweise Datensätze einer Quelle gehackt. Werden unterschiedliche Passwörter genutzt, was grundsätzlich dringend geboten ist, ist die 2FA eine funktionierende Sicherheitsschwelle, die unberechtigte Zugriffe wirksam erschwert. Verwenden Nutzer:innen für mehrere Apps/Online-Anwendungen ein identisches Kennwort, wodurch Leak-Datensätze auch bei anderen Anwendungen missbräuchlich verwendet werden können, ist das grob fahrlässig und nicht der Verantwortungsbereich von REWE. MfG!

Rückfrage vom 2025-08-18 um 16:23 Uhr

Sehr geehrte Frau **********,

wie kann die REWE Bonus-App sicher sein, wenn Cyberkriminelle mittels der Daten aus dem Leak auch auf die E-Mail-Adresse einiger Kunden zugreifen können, die Sie ja für die Überprüfung nutzen wollen? Die holen sich den Code einfach aus dem Postfach Ihrer Kunden und haben sich somit als echt bestätigt.

Ein 2FA-Verfahren mittels der App Authenticator etc. würde sich doch auch in Ihrem Verantwortungsbereich befinden. Ich kann Ihre Argumentation nicht nachvollziehen. MfG!

Antwort vom 2025-08-19 um 14:00 Uhr

Sehr geehrter Herr Sobiraj,

für die Anmeldung in der REWE App benötigt man ein Passwort und für den Zugriff auf den persönlichen E-Mail-Account bei einem Provider braucht man ein Passwort. Bei einem Leak werden üblicherweise Datensätze einer Quelle gehackt. Werden unterschiedliche Passwörter genutzt, was grundsätzlich dringend geboten ist, ist die 2FA eine funktionierende Sicherheitsschwelle, die unberechtigte Zugriffe wirksam erschwert. Verwenden Nutzer:innen für mehrere Apps/Online-Anwendungen ein identisches Kennwort, wodurch Leak-Datensätze auch bei anderen Anwendungen missbräuchlich verwendet werden können, ist das grob fahrlässig und nicht der Verantwortungsbereich von REWE.

Mit freundlichen Grüßen
**********

Fazit zum Thema REWE Bonus-App

Danach haben wir es, ehrlich gesagt, aufgegeben weitere Anfragen zu verschicken. Der Marketing-Spezialistin von REWE dürfte klar sein, wie hoch der Anteil der Personen ist, die ihre Passwörter gleich mehrfach benutzen. Dazu kommen die Menschen, die sehr kurze Passwörter verwenden oder schlichtweg nur 123456 etc. Ein Fest für Brute-Force-Angriffe!

Natürlich ist das Verhalten der Kunden grob fahrlässig und dennoch sollte man alles Menschenmögliche tun, um für ein Optimum an Sicherheit zu sorgen. Schließlich geht es darum, dass man mit dem angesparten Guthaben von REWE Bonus einkaufen gehen kann. Die REWE-Mitarbeiter an der Kasse können schließlich nicht erkennen, ob der Kunde echt oder ein Cyberkrimineller ist, der sich lediglich auf Kosten Dritter bereichern will.

(*) Alle mit einem Stern gekennzeichneten Links sind Affiliate-Links. Wenn Du über diese Links Produkte oder Abonnements kaufst, erhält Tarnkappe.info eine kleine Provision. Dir entstehen keine zusätzlichen Kosten. Wenn Du die Redaktion anderweitig finanziell unterstützen möchtest, schau doch mal auf unserer Spendenseite oder in unserem Online-Shop vorbei.

Jetzt kommentieren
Mehr zu dem Thema
SourCreamSauce

Über SourCreamSauce

Ich studiere Politikwissenschaft und Japanisch. Vorher habe ich vier Jahre bei der Bundeswehr gedient und hatte dort meine ersten professionellen Berührungspunkte mit IT, im Bereich Netzwerk Aufbau etc.


Hackerpaar arbeitet an Betrugs-Masche

Vorwerk-Thermomix TM6-Angebot für 1,95 € entpuppt sich als Betrug

Mit Verweis auf eine Hintertür bei Vorwerk preist eine vermeintlich ehemalige Mitarbeiterin ein Thermomix TM6-Angebot für nur 1,95 € an.

Ein Hacker, umgeben von holografischem Code und KI-Symbolen, nutzt den KI-Chatbot GhostGPT (Symbolbild)

KI-Chatbot GhostGPT: Eine neue Wunderwaffe für Cyberkriminelle

Cyberkriminelle setzen zunehmend auf KI: GhostGPT erstellt in Sekundenschnelle fiese Malware und raffinierte Phishing-Mails.

Moderne Gefahr durch künstliche Intelligenz: Ein Rentner wird Opfer eines KI-gestützten Bankbetrugs

Bankbetrug durch KI: Rentner im Visier digitaler Betrüger

Ein Rentner wird zum Opfer von KI-gestütztem Bankbetrug. Wie die Täter vorgehen und was man tun kann, um sich zu schützen, erfahrt ihr hier.

Digitale Bedrohung im Stream: Gen Z gerät zunehmend ins Visier von Cyberkriminellen beim alltäglichen Medienkonsum.

Gefahr beim Streaming: Gen Z-Entertainment im Fokus von Cyberkriminellen

Gefahr beim Streaming – Wie Streaming-Vorlieben der Gen Z zur Angriffsfläche für Cyberkriminelle werden kann.

Warnung vor dem Sliver-Implant Trojaner (Symbolbild)

Sliver-Implant Trojaner zielt auf deutsche Firmen ab

Der Trojaner Sliver-Implant greift deutsche Unternehmen an - wie die Schadsoftware funktioniert und wie man sich schützen kann.

Phishing-Angriffe gedeihen bei schwacher Authentifizierung – Banken in der Verantwortung.

Sparkasse haftet für Phishing-Schaden trotz grober Fahrlässigkeit urteilt OLG Dresden

Sparkasse haftet für Phishing-Schaden trotz grober Fahrlässigkeit des Kunden – OLG Dresden sieht Mitverschulden.

E-Mail

mailbox.org 2FA im Fokus: Wann wird es endlich so bequem wie sicher?

Nur die Teilnehmer des Beta-Programms können beim Berliner E-Mail-Anbieter mailbox.org die einfache 2FA-Nutzung in Anspruch nehmen. Warum?

Mit einem Phishing-Angriff per Mail können Kriminelle unter anderem Zugangsdaten fürs Online-Banking ergaunern.

Phishing-Angriff per Mail: ING-, comdirect-, Volksbank- und Postbank-Kunden im Visier

Im Namen von ING DiBa und weiteren Banken unternehmen Kriminelle vermehrt fiese Phishing-Angriffe per Mail.

Operation Heart Blocker zerschlägt Online-Marktplätze für Fraud-Tools (Symbolbild)

Operation Heart Blocker: Marktplätze für Fraud-Tools zerschlagen

Operation Heart Blocker: Ermittler zerschlagen Betrugsnetzwerke und schließen 39 illegale Marktplätze für Fraud-Tools und Phishing-Kits.

ClickFix-Phishing

ClickFix-Phishing: Neue Kampagne richtet sich gegen die Hotellerie

Neue ClickFix-Phishing-Welle im Gastgewerbe! Cyberkriminelle greifen Hotelmitarbeiter mit hinterlistigen Betrugsmaschen an.

„Geralt gegen den digitalen Feind“ – Während der Hexer einst gegen Monster kämpfte, steht er nun einer neuen Bedrohung gegenüber: einem perfiden Phishing-Betrug, der sich als The Witcher 4 Beta Invitation tarnt. Cybercrime trifft dunkle Fantasy.

The Witcher 4 Scam-Alarm: Phishing-Falle tarnt sich als Beta-Test-Einladung

CD Projekt klärt aktuell auf: Hinter angeblichen Testeinladungen zu The Witcher 4 steckt eine Phishing-Kampagne.

Cloudflare-Warnung gegen KickAssAnime (Symbolbild)

Cloudflare-Warnung gegen KickAssAnime: Rufmord oder reale Gefahr?

KickAssAnime wurde von Cloudflare als Phishing-Seite markiert - berechtigte Warnung oder eine gezielter Rufmord?

Darstellung eines gerissenen Cyber-Diebs, der Nutzer online per Phishing-Mails betrügt

Phishing-Mails AOK Rückzahlung: Vorsicht vor dieser neuen Masche

Phishing-Mails verheißen eine AOK-Rückzahlung über eine größere Geldsumme. Hinter dem unerwarteten Geldregen steckt jedoch Phishing-Betrug.

Z-Library warnt seine Nutzer vor Betrug

Der große Z-Library-Betrug: Millionen in die Phishing-Falle gelockt

Achtung! Betrug mit Z-Library: Eine gefälschte Website hat Millionen von Nutzern betrogen und ihre persönlichen Daten gestohlen.

Digitale Bedrohung: Hacker stehlen Kryptowährungen mit Malware (Symbolbild)

Crazy Evil Gang will mit StealC, AMOS und Angel Drainer Malware eure Kryptos klauen

StealC, AMOS & Co: Die Crazy Evil Gang nutzt Malware, um Krypto-Wallets zu leeren. So schützt ihr eure Coins!

CrowdStrike-Phishing (Symbolbild)

CrowdStrike-Phishing: Jobsuchende bekommen Crypto-Miner untergeschoben

Arbeitssuchende im Visier von Kriminellen: Gut gemachte CrowdStrike-Phishing-Mails verbreiten Cryptominer XMRig.

Ein Smartphone mit dem Interpol-Logo auf dem Display

Operation Synergia II: Interpol schaltet 22.000 IP-Adressen ab

Interpols Operation Synergia II deckt globales Cybercrime-Netzwerk auf. Behörden melden Festnahmen in mehreren Ländern.

KI-Spoofing: Technik zielt auf Gmail-Nutzer ab

KI-Spoofing: Technik zielt auf Gmail-Nutzer ab

Cyberkriminelle nutzen derzeit leistungsstarke KI-Tools zu KI-Spoofing, um Gmail-Anmeldeinformationen zu stehlen und Konten zu übernehmen.

WerbungÜber unsKontaktPressespiegel
Kategorien
RezensionenGlosseInternJurassic PackDrachenlordLesetipps
Social Media

Impressum Datenschutz

Tarnkappe.info Logo

© 2014-2024 Tarnkappe.info

ZURÜCK  WEITER