Elicitação: a técnica cavalheiresca de roubar informações sigilosas
Nem adianta olhar no dicionário: o conceito de elicitação no contexto da segurança da informação é um tanto desconhecido, inclusive no Brasil. Qualquer dicionário define elicitar (ou eliciar) como “extrair, fazer sair; obter; desencadear, provocar; deduzir; descobrir; esclarecer”, mas, convenhamos, é um pouco difícil de compreender a que o conceito se refere apenas com essa definição.
Dentro da área de segurança da informação, elicitação nada mais é do que a técnica de extrair informações sigilosas ou privilegiadas de alguém por meio de uma conversa que, a priori, parece ser apenas um bate-papo educado e cavalheiresco. Esse diálogo pode ser mantido online ou por telefone, mas um engenheiro social habilidoso sempre vai preferir um diálogo presencial, olho no olho, onde ele pode ser mais incisivo.
O ataque é tão preocupante que o Departamento Federal de Investigação dos Estados Unidos (FBI) desenvolveu uma cartilha para alertar organizações, privadas ou públicas, a respeito de tal risco. Afinal, as técnicas de elicitação podem ser usadas até mesmo para conseguir segredos industriais e espionar planos ou projetos militares de uma nação estrangeira rival.
Uma conversa comprometedora
Imagine que você esteja em um coworking, por exemplo, e, de repente, uma pessoa lhe aborda com uma educação exemplar. Ela se apresenta como um colaborador recém-contratado, que ainda não conhece os colegas de escritório. Então, pede que você a ajude a se familiarizar com o ambiente.
O diálogo parece fluir tranquilamente e, quando você se dá conta, está respondendo a uma série de perguntas aparentemente inocentes: onde fica a sala de reuniões?; quantas pessoas compõem a diretoria?; todos os ambientes são equipados com câmeras?. Ao fornecer essas informações, você pode, sem querer, estar concedendo dados cruciais que poderiam ser usados para planejar um golpe contra a empresa.
E é exatamente assim que a técnica de elicitação funciona: a vítima dificilmente nota que está sofrendo uma “extração de informações” e fornecendo inteligência restrita de maneira voluntária.
Isso acontece porque, na elicitação, a engenharia social atinge seu ápice e a conversa flui tão naturalmente que algumas perguntas e comentários aparentemente inofensivos podem ser valiosos para o atacante. Ele usará técnicas de persuasão e manterá um diálogo envolvente, conquistando sua confiança ao ser educado, solícito e, acima de tudo, um bom ouvinte. O engenheiro vai lhe adular, pedir ajuda com alguma coisa, pedir sua opinião sobre algum tópico e discutir uma questão apenas para obter a sua versão dos fatos.
Segundo o FBI, existem várias técnicas que podem ser usadas por extratores durante uma sessão de elicitação. Conheça algumas delas:
-
Conhecimento assumido: criar empatia fingindo ter conhecimentos em comum com o alvo.
-
Isca confidencial: fingir que está compartilhando uma informação secreta na esperança de receber outra informação secreta em retorno.
-
Negação do óbvio: propositalmente dizer algo errado para que a vítima lhe corrija com uma informação verdadeira sigilosa.
Até você provavelmente já usou!
Embora esses cenários possam parecer loucuras que só acontecem em filmes de Hollywood, é bem possível que você já tenha usado técnicas de elicitação — mesmo que seja por um bom motivo!
Quando estamos preparando, por exemplo, uma festa surpresa para alguém, é comum que apliquemos as estratégias de elicitação para extrair algumas informações do aniversariante. Você faz perguntas aparentemente inocentes e mantém conversas aleatórias para descobrir o que a pessoa gosta de comer, qual presente ela amaria receber e como está a sua agenda de horários para a celebração em si.
Desviar de tentativas de extração de informação por elicitação pode ser uma tarefa difícil, mas tente treinar seu pensamento crítico para não responder a qualquer pergunta sem antes imaginar as consequências. Se você acha que está sendo uma vítima desse tipo de golpe, desencoraje o atacante ignorando questionamentos incisivos, respondendo uma pergunta com outra pergunta, oferecendo respostas genéricas ou simplesmente dizendo que não sabe ou não pode discutir o tópico em questão.