Соискатель-то – ненастоящий!

Кибермошенники устраиваются в компании с помощью дипфейк-технологий

Эксперты бьют тревогу – хакеры начали создавать фальшивые образы соискателей, с помощью которых обманывают HR-специалистов и получают доступ к внутренним системам компаний. Для повышения шансов на успех злоумышленники с помощью технологии дипфейка меняют голос и внешний вид, выдавая себя за других во время собеседования. Эксперты считают, что наем даже одного такого сотрудника может дорого обойтись компании.

РЕАЛЬНОСТЬ ИЛИ ВЫДУМКА

После пандемии COVID-19 работа на дому стала частым явлением – в 2022 году более трети американцев сообщали, что могут исполнять служебные обязанности дистанционно полный рабочий день. Распространение удаленки имеет много преимуществ, но также создает новые проблемы в области кибербезопасности. Эксперт по подбору персонала Закари Амос (Zachary Amos) рассказал изданию HR Morning об одной из таких опасностей – найме на работу дипфейка.

По его словам, фейковые кандидаты представляют собой растущую угрозу: мошенники меняют свой голос и внешний вид, чтобы выглядеть, как другие люди, в результате работодатель не знает, кого нанимает на самом деле. Эксперт отметил:

понять, что за человеком на онлайн-собеседовании стоит дипфейк, практически невозможно

По словам Закари Амоса, в 2022 году в Великобритании киберпреступления, совершенные благодаря удаленке, нанесли ущерб на сумму более 46 млн долларов.

Мошенники начинают с публикации поддельных списков вакансий, так они собирают информацию о реальных кандидатах. По данным Федерального бюро расследований США, в 2020 году более 16 тыс. человек сообщили, что столкнулись с подобной аферой. На основе собранных данных злоумышленники создают реалистичные и впечатляющие резюме, чтобы привлечь внимание работодателя.

Как только они получают нужную информацию и добиваются интервью, наступает этап создания фальшивой личности. Для проектирования убедительного образа фейковые кандидаты на работу используют искусственный интеллект (ИИ) и накладывают фальшивое лицо на свое. Передовая технология соответствует естественным контурам лица и знает, когда люди двигают глазами или губами.

Несмотря на кажущуюся сложность, процесс оказывается на удивление простым, говорит Закари Амос. Люди могут клонировать любой голос, если у них есть короткий аудиоклип для примера. Для этой цели на GitHub есть общедоступный инструмент.

Большинство специалистов считают, что смогут сразу же обнаружить поддельного кандидата на работу, однако это не всегда очевидно, констатирует эксперт. Например, в 2021 году сотрудник одной из компаний в Объединенных Арабских Эмиратах перевел мошенникам 35 млн долларов. Для выманивания денег они использовали дипфейк-аудио, выдавая себя за директора организации.

ДИПФЕЙК ЗАКАЗЫВАЛИ?

В прошлом году ФБР выпустило предупреждение с подробным описанием того, как мошенники используют дипфейки для атак на удаленные рабочие места, которые дают им доступ к базам данных и внутренним системам компаний.

Вместо того чтобы пытаться заставить работника щелкнуть на вредоносную ссылку для входа в системы компании, киберпреступники могут трудоустроиться и обеспечить себе постоянный доступ. Если их не распознают, фейковые сотрудники могут работать очень долго и причинять немалый ущерб. Закари Амос подчеркнул, что

мошенники могут создавать разных дипфейк-кандидатов до тех пор, пока не добьются одобрения работодателя нужной им компании

Злоумышленники пытаются получить работу с помощью дипфейков для того, чтобы:

• украсть конфиденциальную информацию, на продаже которой можно заработать;
• установить вредоносное ПО в системы компании;
• найти и использовать слабые места в системе безопасности.

Хотя намерения киберпреступников могут различаться, они точно не будут добрыми, предупреждает эксперт.

КАК ЭТО ПОВЛИЯЕТ

Пытаясь предотвратить наем на работу кандидата, который попал под подозрение, можно столкнуться с дискриминационными исками. Правительства разных стран запрещают дискриминацию по признаку расы, пола, возраста, пола и так далее.

Также компаниям грозят штрафы регулирующих органов в случае утечки информации о клиентах. Получив доступ к базе данных компании и закрытым сведениям, мошенник может продать или слить их в любое время. Если жертва имеет дело с защищенными потребительскими или финансовыми данными, она несет за них ответственность.

Кроме того, придется заплатить значительные штрафы, если регулирующие органы узнают, что организация вовремя не приняла меры по защите личной информации и нанесла этим ущерб потребителям. Например, в 2021 году Amazon пришлось заплатить штраф в размере 877 млн долларов из-за проблем с конфиденциальностью данных. Закари Амос обращает внимание, что

соглашения о неразглашении или контракты не защитят в этой ситуации, потому что человека, который якобы был нанят, не существует

Скорее всего, компания-жертва не сможет подать в суд, а если и сможет, то найти мошенника будет сложно или невозможно.

Стоимость повторного найма также может повлиять на компанию. Как только обнаружится фейковый сотрудник, ему придется срочно нанять замену. На то, чтобы окупить затраты на процесс найма, может уйти до полугода.

КАК РАСПОЗНАТЬ ОБМАН

Ни один из методов не гарантирует, что работодатель распознает дипфейк, предупредил Закари Амос. Однако для защиты можно предпринять ряд действий. Для начала нужно улучшить проверку биографии кандидата при приеме на работу. Это нужно делать с каждым новым сотрудником для исключения возможных проблем с дискриминацией.

Нужно иметь в виду, что дипфейк-сотрудники в основном нацелены на вакансии в области кибербезопасности и ИТ, отметил эксперт. Кроме того,

имеет смысл задуматься о личном собеседовании с каждым кандидатом

Иногда устроить интервью для удаленных сотрудников бывает сложно, однако лучше один раз оплатить кандидату дорогу до офиса, чтобы избежать дальнейших рисков. Если попросить фальшивого кандидата приехать на личное собеседование, он может отказаться как раз под предлогом длинной дороги.

Во время онлайн-собеседования эксперт также призвал обращать внимание на качество изображения – рот и глаза могут выглядеть неестественно при повороте головы. Также он призвал задавать кандидатам как можно больше рабочих вопросов. Хотя мошенники готовятся к собеседованию и могут прийти с поддельными документами, подробные и конкретные вопросы могут отсеять их – злоумышленникам будет трудно ответить или потребуется на это много времени.

Закари Амос подчеркнул, что эти методы не являются надежными, но внедрение каждого из них в рабочий процесс может защитить компанию.

Материал подготовила Екатерина Шокурова