В стартапе по распознаванию голосовых дипфейков Pindrop Security рассказали, как сталкиваются с попытками обмана с использованием этих технологий при проведении удалённых собеседований. Аналитики Gartner подсчитали, что к 2028 году каждый четвёртый претендент на работу на самом деле будет дипфейком.
Pindrop, поддерживаемый Andreessen Horowitz и Citi Ventures, был основан более десяти лет назад для обнаружения мошенничества при голосовом взаимодействии, но также начал развивать технологии видеоаутентификации. Среди его клиентов — некоторые из крупнейших банков США, страховщиков и медицинских компаний.
Как поведали в Pindrop, некий кандидат, русский программист по имени Иван, прислал идеальное резюме на должность старшего инженера. Однако во время видеоинтервью рекрутер заметил, что мимика соискателя немного не соответствовала его словам. Выяснилось, что кандидат на самом деле был мошенником, использовавшим инструменты для создания дипфейков и генеративный ИИ в попытке получить работу в технологической компании. Его удалось вычислить благодаря новой системе видеоидентификации.
Генеральный директор и соучредитель Pindrop Виджай Баласубраманьян заявил: «Gen AI размыл грань между тем, что значит быть человеком, и тем, что значит быть машиной. Мы видим, что люди используют эти поддельные личности, поддельные лица и поддельные голоса, чтобы получить работу».
Так, кандидаты на работу используют инструменты ИИ для подделки удостоверений личности с фотографиями, создания историй трудоустройства и предоставления ответов во время собеседований.
По словам Баласубраманьяна, после найма такой самозванец может установить вредоносное ПО, чтобы потребовать выкуп у компании или украсть данные её клиентов, коммерческие тайны или средства. Во многих случаях такие сотрудники просто получают зарплату, но не справляются с работой.
Эксперты отрасли сообщили CNBC, что компании кибербезопасности и криптовалют недавно столкнулись с всплеском числа соискателей-дипфейков, поскольку они часто нанимают сотрудников на удалённые должности.
Генеральный директор BrightHire Бен Сессер сказал, что впервые услышал об этой проблеме год назад, а количество таких кандидатов на работу «резко возросло» в этом году. Его компания помогает более чем 300 корпоративным клиентам в сфере финансов, технологий и здравоохранения оценивать потенциальных сотрудников с помощью видеоинтервью.
Но проблема не ограничивается технологической отраслью. Более 300 американских фирм непреднамеренно наняли самозванцев, имеющих связи с Северной Кореей, для работы в сфере IT, включая крупную национальную телевизионную сеть, производителя оборонной продукции, автопроизводителя и другие компании из списка Fortune 500, заявил минюст США в мае 2024 года. Работники использовали украденные американские удостоверения личности для подачи заявок на удалённую работу и другие методы, чтобы скрыть свое истинное местонахождение. В конечном итоге они отправили миллионы долларов в виде заработной платы в Северную Корею, чтобы помочь профинансировать национальную программу вооружений, утверждают чиновники.
Лили Инфанте, основатель и гендиректор стартапа кибербезопасности и криптовалют CAT Labs, отмечает, что каждый раз при размещении вакансий «получает около 100 заявок от северокорейских шпионов». «Когда вы смотрите на их резюме, они выглядят потрясающе; они используют все нужные ключевые слова», — говорит Инфанте.
Чтобы отсеивать поддельных кандидатов, стартап сотрудничает с такими компаниями по проверке личности, как iDenfy, Jumio и Socure.
Консультант по компьютерной безопасности Роджер Граймс говорит, что в последние годы география дипфейков вышла за рамки Северной Кореи и включила Россию, Китай, Малайзию и Южную Корею. Он отмечает, что некоторые из таких сотрудников отлично справляются с работой: «Иногда они плохо справляются со своей ролью, а иногда они справляются с ней настолько хорошо, что несколько человек пожаловались, как им жаль, что пришлось их уволить».
При этом фирма по кибербезопасности KnowBe4, в которой работает Граймс, призналась в октябре, что непреднамеренно наняла северокорейского инженера-программиста. Работник использовал ИИ, чтобы изменить стоковую фотографию, а также действительные, но украденные американские идентификационные данные, и прошел проверку данных, включая четыре видеоинтервью. Его раскрыли только после того, как компания обнаружила подозрительную активность, исходящую от его аккаунта.
По словам Сессера из BrightHire, менеджеры по найму в большинстве компаний до сих пор не знают о рисках, связанных с поддельными кандидатами на работу. «Они отвечают за стратегию привлечения талантов и другие важные вещи, но нахождение на передовой линии безопасности исторически не было одной из них», — сказал он.
По мере улучшения качества технологии дипфейка проблемы будет избегать всё сложнее, уверен Сессер.
В 2024 году пользователь рассказал о том, как он помог другу пройти собеседование в технологическую компанию с помощью дипфейка. Сам он опытный разработчик, поэтому на созвон приходил сам и демонстрировал навыки, но в реальном времени заменял своё лицо на лицо друга. Со второй попытки ему удалось получить офер на $4 тыс.
