Digital
Schweiz

Hacker plündern Cumulus-Punkte von Migros-Kunden: Polizei schnappt Betrüger

Arbeitsplatz der Hacker-Gruppe InfinityBlack: Von hier aus drangen sie in Cumulus-Konten ein.
Arbeitsplatz der Hacker-Gruppe InfinityBlack: Von hier aus drangen sie in Cumulus-Konten ein. bild: europol

Hacker plünderten Cumulus-Punkte von Migros-Kunden: Nun schnappte die Falle der Polizei zu

Betrüger erschlichen sich Passwörter von Cumulus-Konten und verkauften sie an andere Kriminelle. Beim Versuch, die Treuepunkte gegen Ware einzulösen, wurden mehrere Betrüger in der Waadt und in Polen verhaftet.
06.05.2020, 09:0906.05.2020, 09:36
Mehr «Digital»

Die polnischen Behörden haben dank einer Polizeiaktion in der Waadt eine auf den Diebstahl von Treuepunkten spezialisierte mutmassliche Hackergruppe ausser Gefecht gesetzt. Der Verlust, von dem auch die Detailhändlerin Migros betroffen ist, beträgt über 50'000 Franken. Doch die polnische Gruppe mit dem Namen InfinityBlack sei im Besitz von Logindaten zu Schweizer Treueprogrammen mit einem potentiellen Wert von über 610'000 Franken gewesen, teilte Europol auf seiner Internetseite mit. Der Schaden hätte also noch weit höher ausfallen können, wären die Betrüger nicht gefasst worden.

«Den Hackern war es dank eines ausgeklügelten Systems gelungen, Login-Kombinationen für Treuepunkte-Konten herauszufinden. Diese Anmeldedaten verkauften sie übers Darknet an andere Kriminelle», schreibt blick.ch. Insgesamt wurden bei den Verhaftungen rund 170 Millionen Datensätze mit Login-Kombinationen sichergestellt.

Die Ermittler verhafteten mehrere mutmassliche Betrüger in der Schweiz und in Polen.
Die Ermittler verhafteten mehrere mutmassliche Betrüger in der Schweiz und in Polen.bild: europool

Migros: betroffen, aber nicht gehackt

Migros-Sprecher Patrick Stöpper erklärte auf Anfrage der Nachrichtenagentur Keystone-SDA, die Migros sei zwar betroffen gewesen, aber nicht direkt gehackt worden. Weder zur Schadensumme noch zur Anzahl Geschädigter beim Migros-Bonusprogramm Cumulus wollte er Angaben machen. Bei Bekanntwerden der Missbräuche habe der Detailhändler Strafanzeige eingereicht und danach eng mit der Waadtländer Polizei zusammengearbeitet.

Aufgeflogen sind die Machenschaften nach Beschwerden von Cumulus-Kunden vor allem aus dem Kanton Waadt. Wie der bei der Waadtländer Polizei zuständige Ermittler Julien Cartier auf Anfrage sagte, bemerkten die Opfer, dass ihre Treuepunkte-Gutscheine ohne ihr Wissen benutzt worden waren. Ende 2018 habe es deshalb rund zehn Beschwerden gegeben, in den Monaten darauf seien mehrere Dutzend weitere Meldungen eingegangen.

So lief der Treuepunkte-Betrug ab

Gemäss Europol verkauften die professionell agierenden Betrüger die gestohlenen Treuepunkte für Cryptogeld an andere kriminelle Organisationen. Diese tauschte die Punkte gegen teure elektronische Geräte in der Schweiz ein. Bei einem solchen Umtauschversuch schlug die Waadtländer Polizei zu und nahm fünf mutmassliche Betrüger fest, unter ihnen auch Minderjährige und junge Erwachsene. Gegen die fünf im Kanton Waadt wohnhaften Schweizer wird weiter ermittelt.

Der Aktion vorausgegangen seien zahlreiche Untersuchungen der Abteilung für Cyberkriminalität der Kapo Waadt. In der Folge konnte mit Hilfe von Europol eine Verbindung zu einer Gruppe in Polen hergestellt werden.

Polizei verhaftet mutmassliche InfinityBlack-Betrüger

Am 29. April verhaftete die polnische Polizei an verschiedenen Orten fünf Personen, die verdächtigt werden, Teil von InfinityBlack zu sein. Die Beamten stellten elektronische Geräte, externe Festplatten und Cryptogeld-Brieftaschen im Gesamtwert von über 100'000 Franken sicher. Auch zwei Datenbanken mit über 170'000 Millionen Datensätzen (Login-Kombinationen) seien von der Polizei gefunden worden.

(oli/sda)

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Nordkoreas berüchtigte Hacker – so arbeitet die Lazarus Group
1 / 24
Nordkoreas berüchtigte Hacker – so arbeitet die Lazarus Group
Die Lazarus Group schlägt weltweit zu...
Auf Facebook teilenAuf X teilen
Betrug mit Post-Paketen im grossen Stil
Video: srf
Das könnte dich auch noch interessieren:
28 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Genosse Oberst
06.05.2020 14:58registriert April 2017
Schwerverbrecher diese gemeinen Kumulus Diebe. Wenn man das Potenzial hat so etwas zu machen, wieso nutzt man es nicht für etwas rentables. Wie kommt man nur auf so etwas?
244
Melden
Zum Kommentar
28
Nex Benedict: Behörden sehen Tod als Suizid – keine Anklage
Sieben Wochen nach dem Tod des nicht-binären Teenagers Nex Benedict liegt der Polizei-Autopsiebericht vor. Im Blut wurde ein Mix aus Medikamenten gefunden.

Nex Benedict, ein nicht-binärer 16-jähriger Teenager der Owasso High School, starb am 10. Februar, einen Tag nach einer Schlägerei in einer Schultoilette mit drei Mädchen. Der nun veröffentlichte staatliche Autopsiebericht kommt zu dem Schluss, dass es ein Suizid war. Menschenrechtsgruppen protestieren, dass die Folgen des langjährigen Mobbings ausser Acht gelassen werden, das Nex erlebte.

Zur Story