Viele Menschen sind besorgt über die Aussicht, mit KI um ihre Jobs zu konkurrieren, aber das ist wahrscheinlich nicht das, was sie erwartet hatten. Das FBI hat vor einem Anstieg in Fällen gewarnt, in denen „Deepfakes“ und gestohlene persönliche Daten verwendet werden, um sich auf Stellen in den USA zu bewerben – einschließlich gefälschter Videointerviews. Nicht abstauben Voight-Kampff-Test doch gerade noch.
Die Umstellung auf Fernarbeit ist für viele Menschen eine großartige Nachricht, aber wie jede andere Änderung der Methoden und Erwartungen ist sie auch ein neuer Spielplatz für Betrüger. Sicherheitsstandards werden aktualisiert, Personalvermittler passen sich an, und natürlich ist der Arbeitsmarkt wild genug, dass einstellende Unternehmen und Bewerber versuchen, sich schneller als je zuvor zu bewegen.
Inmitten dieser laufenden Veränderungen die heutige öffentlich-rechtliche Ankündigung des FBI warnt davor, dass Deepfakes wieder einmal für schändliche Zwecke eingesetzt werden – in diesem Fall zur Nachahmung von Personen, deren Identität gestohlen wurde, um sich um Jobs zu bewerben:
Beschwerden berichten über die Verwendung von Voice-Spoofing oder möglicherweise Voice-Deepfakes während Online-Interviews mit potenziellen Bewerbern. In diesen Interviews stimmen die Aktionen und Lippenbewegungen der Person, die vor der Kamera interviewt wird, nicht vollständig mit dem Ton der sprechenden Person überein. Manchmal stimmen Aktionen wie Husten, Niesen oder andere Höraktionen nicht mit dem überein, was visuell dargestellt wird.
Sie können sich den Prozess von Anfang bis Ende vorstellen: Einem US-Bürger werden sein Führerschein, sein Name, seine Adresse und andere wichtige Informationen bei einem Hack oder einem Datenbankleck gestohlen. Ein Deepfake kann von fast jedem erstellt werden, der ein oder zwei gute Bilder von einer Person hat und verwendet wird, um ein gefälschtes Video des Gesprächs der Zielperson aufzunehmen oder es sogar live zu machen (mit gemischten Ergebnissen, wie wir gesehen haben). In Kombination mit scheinbar legitimen Bewerbungsdaten könnte dies für einen überstürzten Personalchef sehr wohl ausreichen, um einen neuen Auftragnehmer einzustellen.
Wieso den? Es gibt viele Gründe. Vielleicht kann der Hacker nicht in den USA arbeiten, will aber in Dollar bezahlt werden. Vielleicht möchten sie Zugriff auf die Daten, die nur für Mitarbeiter dieses Unternehmens sichtbar sind. Vielleicht ist es nur ein Testlauf, um Tools zu entwickeln, die dies in größerem Umfang tun und einen noch größeren Cache an marktfähigen Daten an Land ziehen. Wie das FBI schreibt: „… einige gemeldete Positionen umfassen den Zugriff auf personenbezogene Daten von Kunden, Finanzdaten, IT-Datenbanken von Unternehmen und/oder geschützte Informationen.“
Es könnte sogar eine nationale Geheimdienst- oder Finanzierungsoperation sein; Nordkorea wurde beobachtet, wie es gefälschte Anmeldeinformationen verwendet, um US-Jobs zu landen, insbesondere im Kryptowährungssektor, wo enorme Diebstähle mit geringen Auswirkungen durchgeführt werden können.
Es ist nicht das erste Mal, dass so etwas gemeldet wird. Anekdoten über gefälschte Mitarbeiter und Kollegen gibt es seit Jahren, und natürlich ist das Arbeiten unter falscher Identität einer der ältesten Tricks der Welt. Die Wendung hier ist die Verwendung von KI-gestützten Bildern, um den Interviewprozess zu meistern.
Glücklicherweise ist die Qualität nicht besonders überzeugend … vorerst. Während Deepfakes in gewisser Weise bemerkenswert gut geworden sind, sind sie weit entfernt von der Realität und Menschen sind extrem gut darin, solche Dinge zu erkennen. 10 Sekunden ununterbrochenes Video zu haben, das beim Betrachter keine Art von Augenverengung auslöst, ist schwer genug – eine halbe Stunde Live-Gespräch scheint mit aktuellen Tools unmöglich, vorausgesetzt, der Interviewer passt auf.
Es ist enttäuschend, dass das FBI keine offensichtlichen Best Practices zur Vermeidung dieser Art von Betrug enthält, aber es stellt fest, dass Hintergrundprüfungen gestohlene personenbezogene Daten identifiziert haben und Personen gemeldet haben, dass ihre Identität, Adresse, E-Mail usw. ohne ihr Wissen verwendet werden.
Und Tatsache ist, dass niemand viel dagegen tun kann. Jemand, dessen Identität gestohlen wurde, kann nur wachsam bleiben und nach verdächtigen Dingen wie seltsamen E-Mails und Anrufen Ausschau halten. Es ist unwahrscheinlich, dass kleine Unternehmen ins Visier genommen werden, da sie außer den Löhnen nicht viel Wert haben. Unternehmen haben wahrscheinlich ziemlich umständliche Einstellungsverfahren, die traditionelle Hintergrundprüfungen beinhalten.
Wenn überhaupt, sind Startups und SaaS-Unternehmen vielleicht am stärksten gefährdet: potenziell viele Daten oder Zugriff darauf, aber vergleichsweise wenig Sicherheitsinfrastruktur im Vergleich zu den Unternehmen, die sie bedienen oder zu verdrängen versuchen. Das gilt auch dafür, sie einzustellen, um Ihre Sicherheit zu verbessern – Startups werden ständig gehackt! Es scheint ein Übergangsritus zu sein.
Es ist wahrscheinlich zu viel verlangt, Ihre Gesprächspartner zu bitten, die heutige Zeitung hochzuhalten (es ist unwahrscheinlich, dass jemand, der sich für einen Remote-Job in der IT bewirbt, eine geliefert bekommt), aber wenn Sie in einem potenziell risikoreichen Sektor wie Sicherheit, Gesundheitstechnologie und dergleichen einstellen, vielleicht einfach etwas vorsichtiger sein. Verwenden Sie starke Verschlüsselung, moderne Zugriffskontrollen und hören Sie auf Sicherheitsexperten. Sagen Sie nicht, das FBI hätte Sie nicht gewarnt.