Дипфейки на собеседованиях: как мошенники при помощи ИИ устраиваются на работу

Когда стартап Pindrop Security, занимающийся голосовой аутентификацией, опубликовал вакансию, один кандидат выделился из сотен других.

Кандидат, русский программист по имени Иван, казалось, обладал всеми необходимыми качествами для должности старшего инженера. Однако, когда в прошлом месяце он проходил собеседование по видеосвязи, рекрутер Pindrop заметил, что выражение лица Ивана немного не совпадало с его словами.

Это произошло потому, что кандидат, которого компания с тех пор называет «Иван Икс», был мошенником, использовавшим программное обеспечение для дипфейков и другие инструменты генеративного искусственного интеллекта, чтобы попасть на работу в технологическую компанию, сказал генеральный директор и соучредитель Pindrop Виджай Баласубраманиан.

«Искусственный интеллект стёр границы между тем, что значит быть человеком, и тем, что значит быть машиной, — сказал Баласубраманиан. — Мы видим, что люди используют фальшивые личности, фальшивые лица и фальшивые голоса, чтобы получить работу, и иногда заходят так далеко, что меняются лицами с другими людьми, которые приходят на собеседование».

Компании уже давно борются с атаками хакеров, которые пытаются использовать уязвимости в их программном обеспечении, а также с сотрудниками и поставщиками. Теперь появилась ещё одна угроза: кандидаты на работу, которые не являются теми, за кого себя выдают, используют инструменты ИИ для создания поддельных удостоверений личности с фотографиями, генерации истории трудоустройства и для получения ответов во время собеседований.

По данным исследовательской и консалтинговой компании Gartner, к 2028 году каждый четвёртый кандидат на вакансию в мире будет фейковым.

По словам Баласубраманьяна, риск для компании, связанный с приёмом на работу фальшивого соискателя, может варьироваться в зависимости от намерений этого человека. По словам Баласубраманьяна, после приёма на работу самозванец может установить вредоносное ПО, чтобы требовать у компании выкуп, или украсть данные клиентов, коммерческую тайну или средства. Во многих случаях недобросовестные сотрудники просто получают зарплату, которую в противном случае они не смогли бы получить, сказал он.

‘Массовый’ рост

По словам отраслевых экспертов, в последнее время в компаниях, занимающихся кибербезопасностью и криптовалютой, наблюдается всплеск числа фейковых соискателей. Главной целью для злоумышленников являются должности на удалёнке.

Бен Сессер, генеральный директор BrightHire, рассказал, что впервые услышал об этой проблеме год назад и что в этом году количество мошенничающих кандидатов на работу «значительно возросло». Его компания помогает более чем 300 корпоративным клиентам в сфере финансов, технологий и здравоохранения оценивать потенциальных сотрудников с помощью видеоинтервью.

«Люди, как правило, являются слабым звеном в сфере кибербезопасности, а процесс найма — это по сути человеческий процесс, в котором задействовано много разных людей, — сказал Сессер. — Это слабое место, которое люди пытаются выявить».

Но проблема не ограничивается технологической отраслью. Более 300 американских компаний непреднамеренно наняли для работы в сфере информационных технологий самозванцев, связанных с Северной Кореей, в том числе крупную национальную телевизионную сеть, оборонного производителя, автоконцерн и другие компании из списка Fortune 500, утверждало Министерство юстиции в мае.

По данным Министерства юстиции, работники использовали украденные американские удостоверения личности, чтобы устраиваться на удалённую работу, и применяли удалённые сети и другие методы, чтобы скрыть своё реальное местоположение. В конечном итоге они отправили миллионы долларов в качестве заработной платы в Северную Корею, чтобы помочь финансировать оружейную программу страны, как утверждает Министерство юстиции.

Это дело, связанное с группой предполагаемых пособников, в том числе с американским гражданином, выявило лишь малую часть того, что, по словам властей США, представляет собой разветвлённую зарубежную сеть из тысяч ИТ-специалистов с северокорейскими связями. С тех пор Министерство юстиции США возбудило ещё несколько дел с участием северокорейских ИТ-специалистов.

Растущая отрасль

Фальшивые соискатели не сдаются, если судить по опыту Лили Инфанте, основательницы и генерального директора CAT Labs. Её стартап, расположенный во Флориде, находится на стыке кибербезопасности и криптовалют, что делает его особенно привлекательным для злоумышленников.

«Каждый раз, когда мы публикуем объявление о вакансии, на неё подают заявки 100 северокорейских шпионов, — сказал Инфанте. — Если вы посмотрите на их резюме, они выглядят потрясающе; они используют все ключевые слова, которые мы ищем».

Инфанте рассказала, что её компания обращается в компанию по проверке личности, чтобы отсеивать подставных кандидатов. Это часть развивающегося сектора, в который входят такие компании, как iDenfy, Jumio и Socure.

По словам Роджера Граймса, ветерана-консультанта по компьютерной безопасности, в последние годы индустрия поддельных сотрудников вышла за пределы Северной Кореи и распространилась на преступные группировки в России, Китае, Малайзии и Южной Корее.

По иронии судьбы, некоторые из этих мошенников считались бы лучшими работниками в большинстве компаний, сказал он.

«Иногда они плохо справляются с ролью, а иногда играют так хорошо, что я даже слышал от нескольких человек, что они сожалеют о том, что им пришлось их уволить», — сказал Граймс.

Его работодатель, компания по кибербезопасности KnowBe4, в октябре заявила, что случайно наняла северокорейского инженера-программиста.

По словам компании, сотрудник использовал ИИ, чтобы изменить фотографию своего аккаунта, а также действительное, но украденное удостоверение личности гражданина США, и прошёл проверку биографических данных, включая четыре видеоинтервью. Его раскрыли только после обнаружения компанией подозрительной активности на аккаунте.

Борьба с дипфейками

По словам Сессера из BrightHire, несмотря на дело Министерства юстиции и несколько других получивших огласку инцидентов, менеджеры по подбору персонала в большинстве компаний, как правило, не знают о рисках, связанных с подставными кандидатами.

«Они отвечают за кадровую стратегию и другие важные вещи, но исторически сложилось так, что они не находятся на передовой в сфере безопасности, — сказал он. — Люди думают, что они с этим не сталкиваются, но я думаю, что, скорее всего, они просто не осознают, что это происходит».

По словам Сессера, по мере улучшения качества технологии дипфейков избежать этой проблемы будет сложнее.

Что касается «Ивана Икс», Баласубраманиан из Pindrop рассказал, что стартап использовал созданную им новую программу аутентификации видео, чтобы подтвердить, что это был фейк.

Хотя Иван утверждал, что находится на западе Украины, его IP-адрес указывал на то, что на самом деле он был за тысячи километров на востоке, недалеко от границы с Северной Кореей, сообщила компания.

Компания Pindrop, основанная более десяти лет назад при поддержке Andreessen Horowitz и Citi Ventures, была создана для выявления мошенничества при голосовом общении, но вскоре может переключиться на видеоаутентификацию. Среди клиентов — крупнейшие банки, страховые и медицинские компании США.

«Мы больше не можем доверять своим глазам и ушам, — сказал Баласубраманиан. — Без технологий вы в худшем положении, чем обезьяна, которая бросает монетку».