عصر ایران- جیسون ربهولز، کارشناس برجسته امنیت، در یک مصاحبه شغلی با کارجویی مواجه شد که وجود خارجی نداشت. داستان رویارویی او با یک کلاهبردار مجهز به تکنولوژی تغییر چهره، نشان می‌دهد تشخیص واقعیت از جعل در دنیای دیجیتال تا چه اندازه دشوار و پیچیده شده است.

به گزارش عصرایران، تقریباً هر شرکتی، از غول‌های فناوری مانند آمازون گرفته تا استارتاپ‌های کوچک، تجربه دست‌اولی از درخواست کارگران جعلی حوزه فناوری اطلاعات (IT) برای مشاغل دارند و گاهی اوقات این افراد حتی استخدام هم می‌شوند.

با این حال، استفاده از ویدیوی «دیپ‌فیک» (Deepfake) برای درخواست نقش پژوهشگر امنیتی در شرکتی که کارش «مدل‌سازی تهدید» برای سیستم‌های هوش مصنوعی است، بی‌نهایت گستاخانه به نظر می‌رسد.

جیسون ربهولز (Jason Rebholz)، ‌بنیان‌گذار و مدیرعامل شرکت Expel، در گفت و گو با «The Register» درباره کلاهبرداری مصاحبه شغلی به سبک کره شمالی گفت: این یکی از رایج‌ترین موضوعات بحث در گروه‌های مدیران ارشد امنیت اطلاعات (CISO) است که من در آن‌ها عضو هستم. فکر نمی‌کردم این اتفاق برای من بیفتد، اما حالا با آن مواجه شده‌ایم.

ربهولز پیش از راه‌اندازی شرکت امنیت هوش مصنوعی خود، به عنوان پاسخ‌دهنده به حوادث سایبری و مدیر ارشد امنیت اطلاعات (CISO) فعالیت می‌کرد. او سال‌ها روی دیپ‌فیک‌ها تحقیق کرده و حتی در سخنرانی‌هایش از آن‌ها استفاده کرده است. بنابراین او هدف آسانی برای این نوع کلاهبرداری محسوب نمی‌شود.

در ماه ژانویه، ربهولز چند موقعیت شغلی مربوط به شرکتش را در لینکدین منتشر کرد. ظرف چند ساعت، پیام مستقیمی از فردی ناشناس دریافت کرد که مدعی بود شخصی را می‌شناسد که نامزد مناسبی برای نقش پژوهشگر امنیتی خواهد بود.

عکس پروفایل این جوینده کارِ ادعایی، تصویر یک شخص واقعی نبود. ربهولز می‌گوید شبیه یک شخصیت انیمه بود و آن را اولین پرچم قرمز (نشانه خطر) در این تجربه می‌نامد. اما او همچنان سعی کرد با حسن‌نیت برخورد کند.

او گفت: در جامعه امنیت، افراد نگران حریم خصوصی هستند، بنابراین اگر کسی نام مستعار داشته باشد یا عکس واقعی نداشته باشد، خارج از عرف نیست. این اولین تلاش من برای توجیه چیزی بود که می‌دیدم.

روند کلاهبرداری در یک مصاحبه شغلی

ربهولز از رابط لینکدین خود درباره جوینده کار پرسید و آن فرد لینکی به یک رزومه میزبانی شده در Vercel برای او فرستاد؛ پلتفرمی ابری برای ساخت اپلیکیشن‌ها که با ابزارهای هوش مصنوعی ادغام می‌شود. این موضوع نیز کمی عجیب به نظر می‌رسید.

ربهولز گفت: من در آن زمان با هم‌بنیان‌گذار شرکتم چت می‌کردم و او گفت: “این کمی عجیب است. او احتمالاً از هوش مصنوعی Claude برای تولید آن رزومه استفاده کرده است.”

 او افزود اگر از «Claude Code» بخواهید رزومه یا پورتفولیو بسازد، معمولاً آن‌ها را روی پلتفرم Vercel مستقر می‌کند.

ربهولز این موضوع را این‌گونه توجیه کرد که آن فرد توسعه‌دهنده (دولوپر) است، پس منطقی است که از ابزار کدنویسی برای ساخت پورتفولیو استفاده کند، بعلاوه، رزومه خوش‌ظاهری بود. همه چیز واقعاً حرفه‌ای به نظر می‌رسید.

فرد رابط در لینکدین گفت که قبلاً با جوینده کار در شرکت قبلی‌اش همکاری داشته و به ربهولز گفت که این پژوهشگر امنیتیِ احتمالی در خارج از کشور کار می‌کند. ربهولز گفت که این مشکلی نخواهد بود. Expel شرکت جوانی است و ربهولز می‌خواست با افراد زیادی مصاحبه کند تا درک درستی از فرد مناسب برای شغل پیدا کند.

او گفت: در این مرحله، شک نکردم که این یک کلاهبرداری است. هرچند کمی عجیب بود که فرد در خارج از کشور باشد، با وجود اینکه آخرین شغلی که داشتند در سانفرانسیسکو ثبت شده بود.

با این حال، ربهولز فکر کرد می‌تواند در مصاحبه درباره این موضوع سوال کند. او آدرس ایمیلش را به فرد رابط در لینکدین داد و از «دوست» مشترک خواست ارتباط را برقرار کند: در عرض پنج دقیقه از رسیدن ایمیل به صندوق ورودی‌ام، پیامی در لینکدین دریافت کردم که می‌گفت: “پوشه اسپم خود را چک کن.

اینجا بود که ربهولز کم‌کم مشکوک شد که دارد قربانی کلاهبرداری می‌شود. او گفت: من هرگز چنین سطحی از فوریت را برای یک معرفی ساده تجربه نکرده بودم. هر کارآگاه امنیتی یا هر کسی که آموزش ضد فیشینگ دیده باشد، می‌داند که مهاجمان معمولاً سعی می‌کنند حس اضطرار ایجاد کنند تا قربانی خود را وادار به انجام اقدامی خاص کنند.

انحراف کامل جریان مصاحبه

ربهولز گفت: اما با خودم فکر کردم، بسیار خوب، بگذار فقط با آن‌ها صحبت کنم. ضرری ندارد. و به این ترتیب یک مصاحبه برنامه‌ریزی کردیم. هنوز به نقطه‌ای نرسیده بودم که با قطعیت بگویم این کلاهبرداری است. اوضاع قطعاً داشت کمی مشکوک می‌شد. اما زمانی که مصاحبه را شروع کردیم، اوضاع فوراً از کنترل خارج شد.

کلاهبردار با دوربین خاموش وارد تماس شد. سپس حدود ۳۰ ثانیه طول کشید تا دوربینش را روشن کند. ربهولز گفت: در طول آن ۳۰ ثانیه، فکر می‌کردم این قرار است یک دیپ‌فیک باشد، تمام آن نشانه‌های خطر قبلی در ذهنم فعال شدند و مطمئن بودم که این واقعی نخواهد بود.

وقتی دوربین روشن شد، جوینده کار جلوی یک پس‌زمینه مجازی نشسته بود؛ چهره‌اش کمی تار و پلاستیکی به نظر می‌رسید، بازتاب پرده سبز (Green screen) در عینکش دیده می‌شد و در یک لحظه چال‌هایی غیرطبیعی روی صورتش ظاهر شد.

ربهولز گفت: در آن لحظه، توجهم به نرمی غیرعادی صورتش جلب شد و همان‌طور که حرکت می‌کرد، می‌دیدید که چهره‌اش ظاهر و ناپدید می‌شود. در این مرحله، می‌دانستم که قطعاً دارم با یک دیپ‌فیک صحبت می‌کنم. اما باز هم سعی کردم آن را توجیه کنم.

ربهولز می‌گوید متوجه شد که جوینده کار تمایل داشت سوالات مصاحبه را قبل از پاسخ دادن تکرار کند و بسیاری از پاسخ‌هایش تقریباً نقل‌قولِ کلمه به کلمه از مطالبی بود که خود ربهولز قبلاً گفته یا نوشته و به‌صورت آنلاین منتشر کرده بود. او گفت: احساس می‌کردم دارم با خودم صحبت می‌کنم.

ربهولز هرگز مصاحبه را قطع نکرد و از نامزد نخواست انسان بودنش را ثابت کند. این همان کشمکش درونی بود: آیا با او روبرو شوم؟ اما مدام به این فکر برمی‌گشتم: اگر اشتباه کنم چه؟ این عجیب‌ترین بخش کل تجربه بود، زیرا تمام دانش من درباره دیپ‌فیک‌ها فریاد می‌زد: این یک دیپ‌فیک است. اما چیزی مانع من می‌شد، آن ۱ درصد احتمال که شاید اشتباه می‌کنم و این واقعاً یک نامزد خوب است و اگر با او برخورد کنم فکر بدی درباره من خواهد کرد.

پس از مصاحبه، ربهولز کلیپ‌های ویدیویی را برای دوستش در شرکت Moveris فرستاد تا با استفاده از فناوری تشخیص دیپ‌فیک آنالیز شوند. این موضوع شک‌های ربهولز را تأیید کرد. یکی از درس‌های مهم این ماجرا این است که چنین اتفاقی می‌تواند برای هر کسی، در هر شرکتی با هر اندازه‌ای رخ دهد.

هرکسی می‌تواند قربانی دیپ‌فیک شود!

ربهولز تأکید کرد: شرکت‌های کوچک هم قربانی هستند. لازم نیست یک شرکت عظیم فناوری باشید تا هدف قرار بگیرید.

البته شرکت‌های عظیم فناوری مانند گوگل و آمازون نیز توسط کارگران فناوری اطلاعات کره شمالی هدف قرار می‌گیرند. در واقع، اکثر شرکت‌های لیست «فورچون ۵۰۰» در دام این کلاهبرداری افتاده‌اند.

در ماه دسامبر، آمازون اعلام کرد که از آوریل ۲۰۲۴ مانع پیوستن بیش از ۱۸۰۰ کلاهبردار مشکوک از جمهوری دموکراتیک خلق کره (کره شمالی) به نیروی کار خود شده است. استیو اشمیت، مدیر ارشد امنیت آمازون گفت: ما امسال نسبت به سه ماهه قبل، ۲۷ درصد افزایش درخواست‌های وابسته به کره شمالی را شناسایی کرده‌ایم.

ربهولز معتقد است: باید ترکیبی از راهکارهای “تکنولوژی بالا” و “تکنولوژی پایین” (ساده) باشد؛ راهکار ساده یعنی فقط آن را به چالش بکشید. بزرگ‌ترین درس برای من این است: به حس درونی‌تان اعتماد کنید. از این به بعد، قانون من این است که معذوریت‌های اجتماعی را کنار بگذارم. مهم‌تر است که فوراً موضوع را به چالش بکشید و آن مکالمه معذب‌کننده را داشته باشید تا اینکه وقتتان را تلف کنید.

در برخی موارد، کلاهبرداران از دسترسی داخلی خود برای سرقت کد منبع (Source Code) اختصاصی و سایر داده‌های حساس استفاده می‌کنند و سپس کارفرمایان خود را تهدید می‌کنند که اگر باج ندهند، داده‌های شرکت را افشا خواهند کرد.

چطور با کارمندان جعلی مقابله کنیم؟

علاوه بر اعتماد به حس درونی، ربهولز پیشنهاداتی برای مقابله دارد: اول از همه روشن ماندن دوربین را در طول مصاحبه‌های شغلی اجباری کنید. اگر مصاحبه‌شونده از پس‌زمینه مجازی استفاده می‌کند، به آن‌ها بگویید آن را خاموش کنند. اگر امتناع کردند، مصاحبه را پایان دهید.

او افزود: اگر به هر دلیلی هنوز مشکوک هستید، از آن‌ها بخواهید چیزی را در پس‌زمینه اتاقشان بردارند و به میز بیاورند. روش قدیمی که از آن‌ها می‌خواستید دستشان را جلوی صورتشان تکان دهند کاملاً منسوخ شده است. نرم‌افزارهای مدرن دیپ‌فیک می‌توانند این ترفند را شکست دهند. پس از استخدام، متقاضی را ملزم کنید هفته اول را حضوری در محل کار کند، حتی اگر موقعیت دورکاری باشد.

کدام کشور اروپایی صدرنشین حداقل دستمزد اروپا است؟