WASHINGTON - Spoločnosti čelia novej hrozbe, a to uchádzačom o prácu, ktorí nie sú tými, za ktorých sa vydávajú. Využívajú umelú inteligenciu na falšovanie fotografií svojich dokladov, vymýšľanie pracovných skúseností a toho, ako majú odpovedať počas pohovorov. Kedysi by to bolo sci-fi, dnes je to realita.
Podľa výskumnej a poradenskej firmy Gartner bude do roku 2028 každý štvrtý uchádzač o prácu na celom svete falošný a jeho profil vytvorený alebo upravený pomocou umelej inteligencie. Po nástupe do práce môže takýto podvodník nainštalovať malvér a požadovať výkupné, alebo získať prístup k citlivým údajom o zákazníkoch, obchodným tajomstvám, či financiám firmy, uviedol americký portál cnbc.com.
Falošní kandidáti, nová hrozba
Keď americký startup Pindrop Security, ktorý je zameraný na hlasové overenie nedávno zverejnil pracovnú ponuku, jeden kandidát ho medzi stovkami ostatných výnimočne zaujal. Išlo o ruského programátora menom Ivan, ktorý mal na prvý pohľad ideálne predpoklady pre seniorské miesto. Počas videorozhovoru si však náborár všimol, že Ivanove výrazy tváre neboli úplne synchronizované s jeho hlasom. Ako neskôr prezradil generálny riaditeľ Vijay Balasubramaniyan, išlo o podvodníka, ktorého odvtedy firma nazýva „Ivan X“. Použil deepfake softvér a ďalšie AI nástroje, aby získal prácu v technologickej firme.
„Generatívna AI zmazala hranicu medzi tým, čo je človek a čo je stroj,“ povedal Balasubramaniyan. „Vidíme jednotlivcov, ktorí používajú falošné identity, tváre a hlasy, aby získali zamestnanie. Niekedy dokonca použijú face swap, v prípade ktorého sa na pohovor dostaví iný človek.“ Firmy sú už dlho cieľom hackerov snažiacich sa zneužiť slabé miesta v ich softvéri alebo medzi zamestnancami. Novou hrozbou sú však uchádzači o zamestnanie, ktorí si pomocou umelej inteligencie vytvárajú falošné preukazy totožnosti, históriu pracovných skúseností a dokonca výsledkov na pohovoroch.
Riziko, ktoré falošný zamestnanec predstavuje, sa líši podľa jeho zámerov, môže napríklad nainštalovať malvér, ukradnúť citlivé údaje alebo len získať plat, na ktorý by inak nemal nárok. Najmä kyberbezpečnostné a kryptomenové firmy hlásia výrazný nárast falošných uchádzačov, a to práve z dôvodu ponuky práce na diaľku, ktorá je pre podvodníkov výhodná. Ben Sesser, CEO spoločnosti BrightHire, ktorá pomáha klientom preverovať uchádzačov cez video pohovory, uviedol, že proces náboru robia ľudia, je plný zraniteľných miest a stáva sa z neho nový cieľ útokov.
Niektoré prípady zachádzajú oveľa ďalej
Na základe amerického ministerstva spravodlivosti v máji minulého roku viac než 300 amerických firiem nechtiac zamestnalo ľudí s väzbami na Severnú Kóreu, vrátane televíznej siete, výrobcu zbraní či automobilky. Títo zamestnanci použili ukradnuté americké identity a maskovali svoju polohu cez vzdialené pripojenia. Zarobené milióny dolárov údajne smerovali do Severnej Kórey na financovanie zbrojného programu. Falošní uchádzači o prácu sa nestiahnu, ako nasvedčuje skúsenosť Lili Infante, zakladateľky a výkonnej riaditeľky CAT Labs. „Pri každom zverejnení ponuky dostávame desiatky žiadostí od severokórejských špiónov. Ich životopisy sú dokonalé, plné kľúčových slov, ktoré hľadáme.“ dodala. Mnohé firmy preto spolupracujú s poskytovateľmi identifikačných služieb ako iDenfy, Jumio či Socure, ktoré pomáhajú odhaliť podvodníkov ešte pred pohovorom.
Podľa Rogera Grimesa, odborníka na kybernetickú bezpečnosť, sa priemysel falošných zamestnancov v posledných rokoch rozšíril aj mimo Severokórejčanov a zahŕňal zločinecké skupiny, nachádzajúce sa v Rusku, Číne, Malajzii a Južnej Kórei. Je iróniou, že niektorí z týchto podvodníkov by boli vo väčšine spoločností považovaní za špičkových pracovníkov. „Niekedy to urobia zle a niekedy to urobia tak dobre, že mi pár ľudí povedalo, že ich mrzí, že ich museli nechať vyhodiť,” povedal Grimes. Jeho zamestnávateľ, spoločnosť zaoberajúca sa kybernetickou bezpečnosťou KnowBe4, v októbri uviedla, že neúmyselne najala severokórejského softvérového inžiniera. Pracovník použil AI na zmenu fotografie v kombinácii s platnou, ale ukradnutou americkou identitou a prešiel previerkami, vrátane štyroch videorozhovorov, uviedla firma. Odhalili ho až potom, čo spoločnosť zistila podozrivú aktivitu pochádzajúcu z jeho účtu.
Boj proti deepfake
Napriek niekoľkým ďalším medializovaným incidentom si náboroví manažéri vo väčšine spoločností podľa Sessera neuvedomujú riziká falošných kandidátov na prácu. „Sú zodpovední za manažovanie talentov a ďalšie dôležité veci, ale byť v prvej línii v bezpečnosti nepatrilo nikdy medzi ne,” povedal. „Ľudia si myslia, že to nezažívajú, ale myslím si, že je pravdepodobnejšie, že si jednoducho neuvedomujú, že sa to deje.” Keďžer sa kvalita technológie deepfake zlepšuje, bude stále ťažšie sa tomuto problému vyhnúť, dodal Sesser. „Už nemôžeme dôverovať našim očiam ani ušiam,” povedal Balasubramaniyan. „Bez technológie ste na tom horšie ako opica pri náhodným hodom mince,” vysvetlil.
