Kandydat na rozmowie wyglądał dokładnie tak jak na LinkedIn. Nie dlatego, że dbał o zdjęcia.

Rozmowa kwalifikacyjna przebiegła bez zarzutu. Kandydat był przygotowany, spokojny i wyglądał dokładnie tak jak na zdjęciu w CV. Firma złożyła ofertę. Trzy tygodnie później okazało się, że to nie było jego zdjęcie.

Deepfake w rekrutacji to już nie teoria ani scenariusz z raportu o przyszłości. To udokumentowany problem, który trafił do ostrzeżeń FBI, do raportów działów IT i do kilkuset umów o pracę, które firma podpisała z kimś, kto nie istniał.

Skala jest wystarczająco duża, żeby zmienić sposób, w jaki weryfikujesz kandydatów. Nawet jeśli twoja firma nie jest celem ataków sponsorowanych przez państwa, zwykła rekrutacja zdalna też daje pole do nadużyć, które dotychczas były niemożliwe.

Jak działa deepfake podczas rozmowy kwalifikacyjnej

Stworzenie przekonującej fałszywej tożsamości na potrzeby rozmowy wideo zajmuje dziś około 70 minut. Narzędzia są dostępne publicznie. Część z nich jest bezpłatna.

Schemat jest zawsze podobny. Ktoś bierze cudze zdjęcia, ze skradzionych dokumentów, z LinkedIn albo z baz danych po wyciekach, i buduje z nich wirtualną maskę. Maska nakłada się w czasie rzeczywistym na obraz z kamery. Rekruter widzi kogoś zupełnie innego niż osoba siedząca przy biurku.

Jakość zależy od połączenia i oświetlenia. Przy dobrej kamerze i stabilnym łączu różnicę można zauważyć, jeśli wiesz, czego szukać. Przy 720p i typowym oświetleniu domowego biura, czyli w warunkach, w których odbywa się większość rozmów rekrutacyjnych, jest trudniej. Maski mają widoczne artefakty przy szybkim ruchu głowy i na krawędziach włosów, ale nie w środku kadru, gdzie rekruter najczęściej patrzy.

Efekt końcowy: ktoś, kto w rzeczywistości jest inną osobą, przechodzi cały proces rekrutacji zdalnej. Podpisuje umowę. Pojawia się w systemach firmy. I zaczyna pracować na dostępach, o które sam poprosił.

Skala problemu: liczby, które nie są pocieszające

Tima Miroshnichenko / Pexels

FBI opublikowało ostrzeżenie o deepfake'ach w rekrutacji zdalnej w 2022 roku. Od tamtej pory liczba zgłoszeń nie spada. W 2024 roku firma iProov odnotowała wzrost ataków z użyciem fałszywych twarzy podczas weryfikacji tożsamości online o ponad 1300% rok do roku.

Gartner szacuje, że do 2028 roku 1 na 4 kandydatów podczas rekrutacji zdalnej może być profilem AI lub deepfakiem. Biorąc pod uwagę tempo wzrostu z ostatnich dwóch lat, ten termin wygląda raczej optymistycznie.

Najbardziej znany przypadek: Departament Sprawiedliwości USA udokumentował, że ponad 300 firm nieświadomie zatrudniło obywateli Korei Północnej. Kandydaci korzystali z fałszywych tożsamości, sfałszowanych dokumentów i deepfake'ów podczas rozmów. Celem był dostęp do systemów IT i wykradanie danych. Część z nich pracowała w ten sposób przez miesiące, z pełnymi uprawnieniami, firmowym laptopem i dostępem do baz danych klientów.

Polska nie jest wyjątkiem. W 2025 roku polska firma z branży cyberbezpieczeństwa wykryła dwóch kandydatów używających deepfake'ów podczas rekrutacji. Jeden z nich miał na ekranie twarz polskiego polityka. To nie był ten polityk. Obaj próbowali uzyskać dostęp administracyjny do systemów już na etapie onboardingu.

Kandydat używa AI, żeby wyglądać jak ktoś inny. Platforma rekrutacyjna prowadzi wstępny wywiad przez AI. Firma weryfikuje kandydata narzędziem AI. Jedyna osoba bez AI w tym procesie jest właśnie proszona o to, żeby była autentyczna. Podobna logika działa przy phishingu AI w mailach, gdzie AI generuje, AI filtruje, a człowiek decyduje w środku.

Jak wykryć deepfake podczas rozmowy kwalifikacyjnej

cottonbro studio / Pexels

Nie istnieje metoda niezawodna. Są metody, które pomagają odfiltrować większość przypadków.

Poproś kandydata żeby zasłonił twarz dłonią. Brzmi jak żart. Działa lepiej niż niejedno droższe narzędzie. Większość oprogramowania do nakładania twarzy w czasie rzeczywistym nie radzi sobie z nagłym zasłonięciem kadru i po odsłonięciu przez chwilę wyświetla artefakty albo prawdziwą twarz. Wystarczy sekunda. To wystarczy.

Obserwuj krawędzie twarzy i włosów. Deepfake'i rozmywają kontury, szczególnie przy szybkim ruchu głowy. Poproś o obrócenie się w bok. Uszy i linia włosów to najsłabszy punkt większości masek. Środek twarzy wygląda przekonująco. Krawędzie, nie zawsze.

Sprawdź synchronizację dźwięku z ruchem ust. Nakładanie twarzy w czasie rzeczywistym generuje opóźnienia, szczególnie przy wolniejszym połączeniu. Jeśli słyszysz słowa ułamek sekundy przed tym, zanim usta kandydata się poruszą, to jest sygnał.

Weryfikuj dokument tożsamości podczas sesji, nie przed nią. Klasyczny błąd: firma prosi o skan dokumentu przed rozmową. Kandydat przesyła skan. Na rozmowie pojawia się ktoś inny z tym dokumentem. Firma ma poprawny skan i nieistniejącego pracownika. Zamiast tego: poproś o pokazanie dokumentu do kamery podczas rozmowy i porównaj twarz na dokumencie z twarzą w kadrze.

Narzędzia do detekcji deepfake'ów, takie jak Reality Defender czy Microsoft Video Authenticator, analizują strumień wideo pod kątem manipulacji. Działają z różną skutecznością zależnie od oprogramowania użytego przez kandydata, czyli dokładnie tego, z czym mają konkurować. Żadne z nich nie jest ostatecznym rozwiązaniem. Wygrywa ten, kto łączy kilka metod, a nie polega wyłącznie na jednej.

Weryfikacja tożsamości kandydatów: co wdrożyć w procesie

Rekrutacja zdalna ma sens. Odbiera bariery geograficzne, skraca czas i pozwala dotrzeć do kandydatów poza lokalnym rynkiem. Problem nie leży w tym, że jest zdalna. Problem leży w tym, że większość firm zbudowała procesy zakładające domyślnie, że twarz w kadrze należy do osoby, która podpisała formularz aplikacyjny.

To założenie działało przez lata, bo nie było powodów, żeby je kwestionować. Teraz są. Kilka zmian, które eliminują podstawowe przypadki:

Weryfikacja dokumentów na żywo, nie skanem. Skan można sfałszować zanim trafi do skrzynki rekrutera. Pokazanie dokumentu do kamery podczas rozmowy eliminuje tę możliwość, choć nie wszystkie.

Jeden etap stacjonarny lub spotkanie przed podpisaniem umowy. Szczególnie przy stanowiskach z dostępem do systemów, finansów lub danych klientów. Deepfake działa przez ekran. Nie przez biurko.

Dwustopniowa weryfikacja na onboardingu. Umowa podpisana, ale to nie koniec. Pierwszego dnia warto sprawdzić dowód tożsamości twarzą w twarz, zwłaszcza jeśli cały poprzedni proces był zdalny. Brzmi jak nadmiar ostrożności, do momentu, kiedy nie jest.

Czerwone flagi w procesie: kandydat odmawiający spotkania stacjonarnego bez podania powodu; historia zatrudnienia niemożliwa do zweryfikowania mimo perfekcyjnego CV; pytania o dostęp do systemów produkcyjnych zanim kandydat zapytał, gdzie jest kuchnia. To ostatnie było prawdziwym sygnałem w przypadku koreańskich pracowników: zbyt szybkie zainteresowanie uprawnieniami administratora na etapie, kiedy większość nowych pracowników pyta jeszcze, gdzie drukować.

O tym, że podobne techniki stosuje się też przy weryfikacji głosu, pisałem przy okazji vishingu i klonowania głosu. Deepfake wideo i deepfake audio to dziś dwie strony tego samego problemu.

Deepfake w rekrutacji to problem procesu, nie technologii

Firmy, które zatrudniły fałszywych kandydatów, nie padły ofiarą zbyt zaawansowanego oprogramowania. Padły ofiarą procesu, który nigdy nie zadał prostego pytania: skąd wiemy, że osoba na ekranie to ta sama osoba, która będzie miała dostęp do naszych danych?

Weryfikacja tożsamości przez wideo call to nie weryfikacja tożsamości. To weryfikacja obrazu. Przez lata były to synonimy, bo nikt nie mógł tego obrazu podmienić w czasie rzeczywistym. Dziś może. I co ważne, może to zrobić ktoś, kto nie jest cyberprzestępcą z wieloletnią praktyką. Narzędzia są zbyt łatwe.

Dobrą informacją jest to, że większość obecnych ataków korzysta z oprogramowania, które robi błędy widoczne przy uważnej obserwacji. Krawędź włosów. Opóźnienie dźwięku. Artefakty po zasłonięciu kamery. To okienko nie będzie otwarte długo.

Wideo call nie zastępuje potwierdzenia tożsamości. Nigdy nie zastępowało. Przez lata nikt po prostu nie miał powodu, żeby to sprawdzać.