Psychologische Prinzipien

Einleitung

Erfolgreiches Social Engineering nutzt nicht nur technische Schwächen, sondern vor allem psychologische Muster, um Vertrauen zu gewinnen, Angst zu erzeugen oder Autorität vorzutäuschen. Diese Seite enthält bewährte Prinzipien, die in Phishing-Mails, Vishing-Anrufen oder Quishing-Kampagnen effektiv eingesetzt werden.

Kernprinzipien nach Cialdini (Anwendbar auf Social Engineering)

Prinzip
Beschreibung
Anwendung im Phishing

Autorität

Menschen folgen Anweisungen von Experten / Vorgesetzten

"Hier spricht die IT-Abteilung..."

Knappheit

Limitierte Verfügbarkeit steigert Reaktionsbereitschaft

"Nur noch heute können Sie ihr Konto sichern"

Dringlichkeit

Zeitdruck reduziert kritisches Denken

"Ihr Zugang läuft in 24 Stunden ab!"

Reziprozität

Menschen revanchieren sich für Gefälligkeiten

"Als Dankeschön: hier Ihr PDF-Gutschein"

Konsistenz

Man will dem eigenen Verhalten treu bleiben

"Sie haben sich registriert – bitte vervollständigen Sie..."

Soziale Bewährtheit

Orientierung an anderen ("alle tun es")

"94 % unserer Kunden haben bereits aktualisiert"

Praktische Manipulationstechniken im Phishing

Technik
Beschreibung
Beispiele

Spoofing

Gefälschte Absenderadresse oder Telefonnummer

support@microsoft.com in E-Mail-Header

Lookalike Domains

Domains mit kleinen Abweichungen

micr0soft-login.com, apple-secure.net

Branding & Design-Kopie

Optisch identische Phishing-Seiten

Farben, Logos, Button-Design

Emotionale Auslösung

Angst, Neugier, Belohnung

"Ihr Konto wurde kompromittiert!"

Vertrauensanker

Reale Informationen mit eingebettet

"Letzter Login: gestern um 13:12 Uhr aus Berlin"

Kombination mehrerer Kanäle

E-Mail + QR + Telefon

"Sie erhalten eine SMS mit Sicherheitscode"

Beispielhafte Phishing-Strategien

1. Technischer Vorwand

„Ihr Exchange-Postfach ist fast voll. Klicken Sie hier, um Speicherplatz zu erweitern.“

– Nutzt Autorität + Dringlichkeit – Ideal für IT-affine Zielgruppen

2. Bewerbung / Rechnung mit Anhang

„Sehr geehrte Damen und Herren, anbei meine Unterlagen für Ihre offene Stelle.“

– Tarnung über Kontext – Anhang mit .docm, .html, .zip oder QR-Code

3. MFA-Betrug via Quishing

„Ihr Login erfordert eine Bestätigung per Mobilgerät. Scannen Sie den QR-Code.“

– Ziel: Umgehen von 2FA – Kombinierbar mit Evilginx oder Proxy-Phishing

Best Practices für erfolgreiche Social Engineering-Kampagnen (Red Team)

  • Verwende personalisierte Inhalte (z. B. Namen, Position, frühere Logins)

  • Kombiniere mehrere Trigger: z. B. Design (Glaubwürdigkeit) + Zeitdruck

  • Teste deine Payloads zuerst gegen Spamfilter und AV

  • Simuliere reale Prozesse (Urlaubsantrag, Compliance, IT-Wartung)

  • Wähle realistische Zeitpunkte (Montagmorgen, Monatsende, Urlaubssaison)

PreviousTools for Social EngineeringNextCryptography Analysis Methods

Last updated