Η απάτη στις προσλήψεις δεν είναι κάτι καινούριο: «φτιαγμένα» βιογραφικά, υπερβολές σε δεξιότητες, ακόμη και περιπτώσεις όπου κάποιος άλλος δίνει τη συνέντευξη αντί για τον υποψήφιο, εμφανίζονται εδώ και χρόνια. Αυτό που αλλάζει ριζικά το τοπίο είναι ότι πλέον μπορεί να στηθεί κάτι πολύ πιο επικίνδυνο: ένας εντελώς συνθετικός υποψήφιος (πρόσωπο, φωνή, επαγγελματικό ιστορικό και ψηφιακή ταυτότητα) να περάσει τα φίλτρα, να πάρει θέση εργασίας, να κάνει onboarding και να λειτουργεί ως «κανονικός» εργαζόμενος μέσα στην εταιρεία.
Δεν μιλάμε για ένα μεμονωμένο «τρικ». Μιλάμε για ένα μοντέλο που κλιμακώνεται. Η Gartner εκτιμά ότι έως το 2028 1 στα 4 προφίλ υποψηφίων παγκοσμίως θα μπορούσε να είναι ψεύτικο, ενώ σε έρευνά της (2Q25, 3.000 υποψήφιοι) 6% παραδέχθηκαν ότι έχουν συμμετάσχει σε απάτη συνέντευξης (π.χ. πλαστοπροσωπία ή να βάλουν άλλον να δώσει τη συνέντευξη).
Από “resume fraud” σε “employee who doesn’t exist”
Το βασικό μοτίβο, όπως το περιγράφει και το υλικό που μου έδωσες, είναι απλό: οι εταιρείες αρχίζουν να συνεντευξιάζουν και -σε κάποιες περιπτώσεις- να προσλαμβάνουν ανθρώπους που δεν υπάρχουν. Ο «εργαζόμενος» μπορεί να περάσει screening, να δείξει πειστικός σε remote συνέντευξη, να πάρει πραγματικά credentials και πρόσβαση σε εργαλεία, και μετά να δράσει.
Και το κίνητρο δεν είναι να ξεγελάσει έναν recruiter για να «κερδίσει μια δουλειά». Ο στόχος είναι η πρόσβαση. Μια πρόσληψη δίνει:
- Νόμιμα διαπιστευτήρια (εταιρικά accounts).
- Επιτρεπόμενα δικαιώματα σε συστήματα (permissions).
- Χρόνο (συχνά εβδομάδες ή μήνες) για να κινηθεί χωρίς να σηκώσει υποψίες.
Από εκεί και πέρα, το “playbook” μπορεί να πάει σε κλοπή δεδομένων, χαρτογράφηση εσωτερικών συστημάτων, υποκλοπή οικονομικών ροών, ή προετοιμασία μεγαλύτερου χτυπήματος.
Γιατί αυτό «δουλεύει» τόσο καλά στις remote διαδικασίες
Η εξ αποστάσεως εργασία δεν δημιούργησε το πρόβλημα, αλλά το έκανε μαζικό. Η γενετική ΑΙ συμπλήρωσε το υπόλοιπο, επειδή μειώνει δραστικά κόστος και χρόνο παραγωγής πειστικών ψεύτικων ταυτοτήτων.
Με πρακτικούς όρους, ο επιτιθέμενος μπορεί να “στήσει”:
- Βιογραφικό «καλογραμμένο» και προσαρμοσμένο σε ATS.
- Προφίλ (π.χ. LinkedIn) με “lived-in” σημάδια.
- Κλωνοποίηση φωνής και deepfake εικόνα/βίντεο σε πραγματικό χρόνο, ώστε η συνέντευξη να μοιάζει απολύτως φυσιολογική.
Εξωτερικά όλα δείχνουν “ΟΚ”. Εσωτερικά, όμως, το ρίσκο αλλάζει κατηγορία: δεν μπαίνει απλώς ένας κακός υποψήφιος, μπαίνει ένας πιθανός adversary.
Όταν πίσω από το «βιογραφικό» υπάρχει οργανωμένη επιχείρηση
Το κομμάτι που κάνει το θέμα ακόμη πιο σοβαρό είναι ότι τέτοια σχήματα δεν είναι πάντα «μοναχικός απατεώνας». Οι αρχές έχουν περιγράψει καμπάνιες που συνδέονται με οργανωμένα δίκτυα και κρατικά συμφέροντα.
Ενδεικτικά, το 2025 το U.S. Department of Justice ανακοίνωσε συντονισμένες ενέργειες κατά σχημάτων της Βόρειας Κορέας που αξιοποιούσαν remote IT εργασία σε αμερικανικές εταιρείες, περιγράφοντας μεταξύ άλλων έρευνες σε “laptop farms”, κατασχέσεις οικονομικών λογαριασμών και fraudulent websites που χρησιμοποιούνταν για ξέπλυμα.
Γιατί οι κλασικές άμυνες αποτυγχάνουν
Οι περισσότερες εταιρείες έχουν μάθει να σκέφτονται την απειλή ως κάτι που έρχεται απ’ έξω (phishing, malware, ύποπτα links). Το hiring όμως είναι διαδικασία που ξεκινά από την παραδοχή εμπιστοσύνης: «ο άνθρωπος που προσλαμβάνω είναι αυτός που λέει ότι είναι».
Εδώ εμφανίζονται τρία δομικά κενά:
- Τα background checks ελέγχουν έγγραφα, όχι πάντα τη “ζωντανή” ταυτότητα/συνέπεια παρουσίας.
- Η ταυτοποίηση συχνά γίνεται μία φορά, στο onboarding, και μετά θεωρείται λήξαν.
- Το HR είναι βελτιστοποιημένο για ταχύτητα και εμπειρία υποψηφίου, όχι για συνθήκες αντιπαλότητας.
Γι’ αυτό και οι ομοσπονδιακές οδηγίες (NSA/FBI/CISA) για deepfakes μιλούν περισσότερο για διαδικασίες επαλήθευσης, σχεδιασμό και εκπαίδευση, παρά για την ιδέα ότι «θα το πιάσουμε με ένα εργαλείο ανίχνευσης».
Το πρόβλημα με το “spot the fake”
Το να βασιστείς στο “το είδα και μου φάνηκε ύποπτο” είναι όλο και λιγότερο αξιόπιστο, ειδικά όταν τα interviews γίνονται σε συμπιεσμένο βίντεο, με κακό φωτισμό, lag, κ.λπ. Σε επίπεδο οργανισμού, αυτό δεν κλιμακώνεται.
Στο ίδιο πνεύμα, αξιολογήσεις/εργασίες γύρω από την ανίχνευση deepfakes δείχνουν ότι η απόδοση των detectors εξαρτάται έντονα από το είδος του deepfake, τις συνθήκες και το πόσο “εκτός δείγματος” είναι το υλικό. Η NIST δημοσιεύει εργασίες αξιολόγησης συστημάτων έναντι AI-generated deepfakes, ενώ πρόσφατες ακαδημαϊκές αξιολογήσεις τονίζουν ότι το “στον πραγματικό κόσμο” είναι διαφορετικό τεστ από τα εργαστηριακά datasets.
Και για να το κάνουμε πιο χειροπιαστό: η ίδια η Interpol, σε αναφορές της για συνθετικά μέσα, περιγράφει περιστατικά όπου η μίμηση (εμφάνιση/φωνή/συμπεριφορά) ήταν αρκετά πειστική ώστε να δημιουργηθεί «ψευδαίσθηση αυθεντικότητας» και να οδηγήσει θύματα σε μεταφορές χρημάτων.
Τι σημαίνει πρακτικά για HR Managers
Με βάση το σενάριο που περιγράφεις στο κείμενο, ο HR Manager γίνεται πρώτη γραμμή σε ένα νέο “initial access vector”: όχι μέσω email, αλλά μέσω συνέντευξης και πρόσληψης.
Το ουσιαστικό take-away είναι ότι αυτό δεν είναι «θέμα HR» ούτε «θέμα IT» μόνο. Είναι σημείο επαφής των δύο. Όσο η πρόσληψη συνεχίζει να λειτουργεί σαν “trusted channel”, τόσο θα είναι ελκυστική για αντιπάλους που θέλουν νόμιμη είσοδο.
Αν θέλεις, στο επόμενο βήμα μπορώ να σου το κάνω ακόμη πιο χρηστικό, πάντα πάνω στο ίδιο κείμενο, προσθέτοντας στο τέλος μια συμπαγή ενότητα “κόκκινες σημαίες στη συνέντευξη/onboarding” και μια σύντομη λίστα δικλίδων που δεν βαραίνουν υπερβολικά την εμπειρία υποψηφίου (χωρίς να το γυρίσουμε σε “how-to” για attackers).
