Za pár set dolarů si může kdokoli „pronajmout“ asistenta, který mu během pohovoru napovídá, nebo dokonce celý hovor vede místo něj. Výsledkem je, že do firem se mohou dostat lidé, kteří nejsou tím, za koho se vydávají – a přesto získají přístup k citlivým datům, API klíčům či interním repozitářům.
Kyberhrozba v přímém přenosu
Podle dat CyberArk a Deloitte vzrostl počet tzv. remote interview frauds od roku 2020 o více než 300 %.
FBI v roce 2023 zaznamenala přes tisíc případů pokusů o podvodné pohovory, často s využitím deepfake videí.
Z bezpečnostního hlediska nejde o banální incident. Když falešný kandidát pronikne do interních systémů banky, pojišťovny či technologické firmy, může:
- kopírovat kódové základny,
- získat přístupové tokeny,
- nahrát škodlivý kód nebo
- vyvést strategická data.
To vše často bez toho, aby kdokoli v HR nebo IT oddělení zpozoroval problém.
Evropa zaspala
Zatímco USA či Asie už implementují povinné rámce pro ověřování identity kontraktorů (např. CMMC, FedRAMP), Evropa stále spoléhá na „důvěru přes Teams“.
Ověření kandidáta se děje skrze životopis, případně online test – ale bez jakékoliv technické kontroly identity nebo geolokace.
NÚKIB uvádí, že v roce 2024 došlo v Česku k rekordnímu počtu kyberincidentů (1 699 útoků, škody přes 632 milionů Kč).
Zejména banky a technologické firmy se stávají častým cílem hybridních útoků, kde se kyberkriminalita mísí s geopolitickým tlakem.
Soft-entry: nový způsob infiltrace
Tento trend má jméno: soft-entry infiltration.
Nejde o hacknutí systému, ale o vstup přes lidskou důvěru – skrze falešnou identitu.
Evropské firmy často outsourcují části vývoje do externích týmů a subdodavatelů. V praxi to znamená, že na projektu může pracovat někdo, koho nikdy nikdo osobně neviděl.
Stačí přesvědčit personalistu a systém je „otevřený“ – zevnitř.