České firmy mají stále nouzi o vývojáře, při náboru se jich tak ani tolik nevyptávají a jsou rádi, když se jim podaří získat někoho, kdo vypadá jako schopný a zkušený „ajťák“.
Toho se někteří lidé snaží zneužít, výrazně jim v tom pomáhají moderní nástroje využívající umělou inteligenci (AI) jako je třeba Midjourney a Dall-E. Existuje však i mnoho jiných nástrojů, jako například Verif Tools s podtitulem Fake Document Generator.
Za přibližně devět dolarů si zde lze snadno objednat falešnou fotografii českého dokladu, občanka může třeba ležet na stole.
Ukázka fotografie s vygenerovaným falešným dokladem. Podvodníci je využívají mimo jiné k infiltraci do firem.
Šofér za všechny peníze
Případy falšování dokladů a následnou infiltraci do českých firem uvádí Petr Moroz, zakladatel a šéf firmy SCAUT, která vyvíjí online nástroj pro takzvaný background check pro prověřování kandidátů na pracovní pozice.
„U nás máme hodně případů typu: Nastoupil nám obchodní manažer a ještě během zkušebky zmizel s platební kartou, autem, počítačem a už jsme ho nikdy neviděli,“ přibližuje Moroz.
Jeden z jeho nejstarších a ukázkových „případů“ byl ten, který se vlastně pro něj samotného nestal. Firma se u SCAUTu poptávala na prověření šoféra, který měl řídit auta generálního ředitele. Takový screening by nejmenovaný obchodní řetězec stál asi dva a půl tisíce korun, což bezpečnostní pracovník řetězce po zvážení odmítl.
„Šofér měl vozit i děti daného ředitele, mít klíče od jeho domu, proto jsme navrhovali komplexní prověrku včetně exekucí či insolvencí. Po pár měsících jsme se s tím pracovníkem opět setkali a říkal mi, že je šofér stál 8,5 milionu korun na dvou kradených sedmičkových bavorácích,“ konstatuje Moroz a dodává, že po zpětném prověření zjistili řidiči osmnáct exekucí.
Jako další příklad, kdy firmy nedostatečně prověřují své potenciální zaměstnance, uvádí Moroz případ ze sázkových společností. V obou případech zaměstnance nikdy neviděli naživo, nábor probíhal online.
I doktoři mohou být „falešní“
|
„Při naší práci jsme u nich objevili i člověka, který si vytvořil několik falešných profilů na sociální síti LinkedIn, pod kterými se snažil odpovídat na různé pracovní inzeráty. Sám sobě si potvrzoval reference a do dvou firem se mu opravdu podařilo dostat. Byl to Asiat s evropským pasem, v jedné společnosti byl šéfem vývoje, ve druhé pak full-stack developerem,“ popisuje Moroz.
Když firmy přišly na to, že má jejich pracovník falešnou identitu, přestal s nimi komunikovat a bez další digitální stopy zmizel. Stáhl i své profily na LinkedInu. „Mohl mít ale nespočet dalších takových profilů a protože se ho zatím nepodařilo vypátrat, může i teď ve své činnosti pokračovat,“ říká Moroz.
Velký problém se podle Moroze skrývá také nejen v přímém náboru, ale v řetězení přes pracovní agentury. „Tihle kandidáti totiž neprochází do koncové firmy přes HR, ale spíš přes nákup služeb,“ doplňuje Moroz.
Podobné zkušenosti mají i jiné české firmy. „Dokonce jsme zjistili, že někdo měl i falešný doklad o vzdělání, který si sám padělal, a zjistili jsme, že jeden kandidát měl zase za sebou pochybnou historii v oblasti IT zakázek,“ uvádí viceprezident firmy Vodafone a člen Asociace kritické infrastruktury Jan Klouda.
I proto ve firmě provádějí důkladnější prověřování uchazečů o zaměstnání. „V rámci Asociace kritické infrastruktury je to téma, kterému se všichni věnují a berou ho vážně,“ dodává Klouda.
Náboráři si informace často neověřují
Zvýšený trend v padělání veřejných listin dokazují také policejní statistiky kriminality. Z nich lze vyčíst, že za uplynulých pět měsíců letošního roku už počet případů dosahuje podobných čísel, jako loni či předloni za celý rok.
Firmy přitom podle ACFE každoročně stojí takové podvody v průměru pět procent jejich tržeb, což je například v případě ŠKODA Auto přes jednu miliardu eur.
Jak ale uvádí mluvčí tiskový mluvčí Ředitelství služby cizinecké policie Josef Urban, jde o případy, kdy byl zjištěn neregulérní doklad fyzicky a tudíž se nejedná o virtuální doklady.
„V případě ověřování virtuálních dokladů lze toto ověřit u českých dokladů lustrací v příslušných evidencích, u cizozemských dokladů se prověřování provádí cestou mezinárodní spolupráce,“ informuje Urban.
Problémem je podle bezpečnostních expertů především fakt, že náboráři často na prověrky „kašlou“ a spoléhají se na to, že jim se takový případ snad nestane. Dokazuje to i nejnovější průzkum mezi personalisty IT firem, který realizovala firma SCAUT se svými partnery mezi šedesáti respondenty a který má iDNES.cz k dispozici.
Podle něj je pro personalisty druhým nejčastějším zdrojem pro hledání zaměstnanců oslovení kandidátů napřímo přes LinkedIn či jiné sociální sítě. „Setkáváme se přitom s názory, že až třetina profilů na sociálních sítích je uměle vytvořená,“ říká Vlastimil Pospíšil ze společnosti SCAUT.
Více než třetina náborářů v průzkumu také uvádí, že informace, které jim kandidát sděluje během náboru, vůbec neověřují a zároveň považují nastavené kontrolní mechanismy za dostatečné. „Nejčastější odpověď na otázku proč informace neověřují je argument, že věří intuici a dojmu z pohovoru,“ vysvětluje Pospíšil.
O závěrech průzkumu se bezpečnostní experti přesvědčili nedávno v praxi, když dali více jak stovce návštěvníků eventů pro personalisty k posouzení své falešné doklady vygenerované za deset dolarů. „Pouze dva profíci odhalili, že se jedná o padělky,“ uvádí zástupci bezpečnostní firmy.
Ověřit to jde, jen to firmy nedělají
A právě s tímto faktorem podvodníci často počítají, což potvrzuje i Samuel Kohoutek z brněnské detektivní kanceláře Inboox, která se zaměřuje na prověřování potenciálních zaměstnanců.
„Z naší praxe můžeme uvést, že u uchazečů o pracovní pozici dochází k předkládání falšovaných dokumentů zejména tam, kde neočekávají důkladnější kontrolu, tedy tam, kde se taková kontrola jeví jako zbytečná nebo tam, kde by byla vhodná, ale zaměstnavatel neprovádí žádný nebo nedostatečný pre-employment background check,“ sděluje Kohoutek.
Personalisté přitom bez zbraní nejsou, umělá inteligence sice podle Kohoutka pomáhá v tvorbě důvěryhodných padělků, ale v současné době lze všechny klíčové informace nezávisle ověřit, případně dohledat. Jako příklad uvádí padělaný občanský průkaz.
„Součástí úředního ověření podpisu je i ověření totožnosti podepisujícího, tedy zpravidla je na ověřovací doložce uvedeno číslo dokladu. Číslo dokladu lze následně porovnávat s číslem poskytnutým samotnou prověřovanou osobou a s čísly, které použijeme dále,“ přibližuje Kohoutek.
AI je na obou stranách barikády
Se stále dokonalejší technikou AI je tak pro lidi bez proškolení evidentně náročné padělané doklady odhalovat. I proto se v boji proti těmto praktikám využívá jiná forma automatizace. Český startup Resistant AI kupříkladu vytváří takovou formu umělé inteligence, která zákazníkům pomáhá bránit se proti útokům jiných umělých inteligencí.
„S upravenými dokumenty se nejčastěji setkáváme v případech finančních podvodů. Ale s tím, jak se tvorba padělků zjednodušuje a s tím, jak se stále více procesů posouvá do digitálního světa, stoupá i počet podvodů mimo finanční svět,“ říká zakladatel a CEO Resistant AI Martin Rehák, do kterého čerstvě poslal 240 milionů korun britský fond Notion Capital.
Ve své praxi firma, která již od investorů včetně Googlu získala takřka dvacet milionů dolarů, nejčastěji naráží na podvody při prokazování příjmu pro pronájem nemovitosti, žádosti o zaměstnání, přijímacím řízení ke studiu a při imigračním řízení.
Poznat profesionálně padělaný doklad je podle Reháka v digitální podobě pro člověka velmi těžké a bez profesionální zkušenosti takřka nemožné.
Ukázka fotografie s vygenerovaným českým občanským průkazem.
„Na internetu jsou dnes běžně k dispozici softwarové nástroje a služby, které dávají padělatelům mnohem více komfortu než příslovečný Photoshop a za úplatu nabízí i komfortní padělek jako službu,“ potvrzuje Rehák.
Na straně útočníků rovněž vidí neustálý nárůst technické kvality padělků a současně i škály podvodů. A podle zakladatele Resistant AI to dává smysl.
„Proč by měli zločinci investovat práci programátorů a vyvíjet sofistikované nástroje pro generování jednoho padělku, pokud jich mohou s podobným úsilím vygenerovat a zpeněžit tisíce,“ míní Rehák.
S rozvojem AI se tak zcela posunul boj o to, kdo bude mít pověstný náskok, jestli podvodníci nebo digitální ochránci. Kdo ve své práci nebude využívat metody umělé inteligence, náskok mít podle Reháka nebude.
„Na vývoji detektorů, které odhalují široké spektrum padělků pracuje tým výzkumníků, inženýrů a odborníků na odhalování podvodů. Bez umělé inteligence by to bylo zcela nemožné. Nejedná se o běžně nasazované postupy, ale o specifické modely, které neustále zdokonalujeme,“ uzavírá Rehák.
