Fake candidate spotted, czyli jak rozpoznać scam rekrutacyjny?

Niniejszy blog post stanowi follow up do naszego ostatniego wpisu pt. Fałszywy kandydat, prawdziwy problem – jak fake candidates zmieniają rekrutację w Polsce i na świecie? W tamtym artykule dokonywaliśmy rozróżnień między typami scamu, omawialiśmy ich przykłady i przyglądaliśmy się skali zjawiska. Tym razem przyjmiemy perspektywę bezpośrednio rekrutacyjną: przyjrzymy się najpierw danym dot. przygotowania HR-u w zakresie cyberbezpieczeństwa, a następnie zaproponujemy kilka kroków, które zwiększą odporność Twojej firmy na scam. Zapraszamy do lektury!

1. (Nie)przygotowanie HR-u

Zanim przejdziemy do praktycznych porad, przeprowadźmy szybki przegląd wojsk i na podstawie danych zapytajmy samych siebie, na ile rzeczywiście jesteśmy gotowi na spotkanie z fałszywymi kandydatami. Zapoznając się z wynikami poniższych badań, warto odnosić je do własnej pracy i zastanawiać się, jakie odpowiedzi na te pytania padłyby w naszej organizacji. Ta autorefleksja jest o tyle konieczna, że nie sposób zapełniać procesów luk i braków, jeśli się nie ma świadomości ich występowania.

Najbardziej wymowna liczba pochodzi z raportu Checkr z 2025 roku: tylko 19% hiring managerów deklaruje niezachwianą pewność, że ich obecny proces rekrutacyjny wykryje fałszywego kandydata ¹. To znaczy, że cztery na pięć osób odpowiedzialnych za rekrutację przyznaje, że ich proces ma luki, przez które może przecisnąć się scammer.

Co więcej, 62% specjalistów HR uważa, że kandydaci są obecnie lepsi w fałszowaniu tożsamości z pomocą AI niż zespoły HR w wykrywaniu tych oszustw ². Tylko 13% nie zgadza się z tą tezą. Zauważmy, że to otwarte przyznanie się do bycia o krok za przeciwnikiem – i to nie tylko przeciwnikiem indywidualnym, ponieważ oprócz wolnych elektronów ataki organizują także zorganizowane grupy przestępcze lub organy państwowe (vide Korea Północna). Te zaś naturalnie będą miały większe zasoby i lepiej zorganizowany proces ataku, co sprawia, że tym sprawniej wykorzystują nieprzygotowanie przeciwnika i tym większe mają szanse powodzenia.

A czego konkretnie obawia się HR? Według ankiety Checkr, najwyższe noty w rankingu obaw dostają trzy techniki:

1. chatboty udające prawdziwych kandydatów,
2. deepfake'owe rozmowy
3. CV i listy motywacyjne generowane przez AI ³.

Wszystkie trzy łączy to, że są coraz bardziej dostępne – nie wymagają już ani specjalistycznej wiedzy, ani drogiego sprzętu.

Pozostaje pytanie, jak HR reaguje na te obawy. I tu widać pierwsze ruchy obronne: 39% hiring managerów w USA wprowadza więcej rozmów stacjonarnych dla weryfikacji autentyczność kandydatów ⁴. Co ciekawe, według badań Gartnera, kandydaci to popierają – 62% ankietowanych stwierdziło, że jest bardziej skłonna aplikować do firmy, jeśli wymaga ona rozmów na żywo ⁵. Czyli mamy nieco paradoksalną sytuację, w której powrót do starych dobrych rozmów rekrutacyjnych on site jest jednocześnie być może najskuteczniejszą odpowiedzią na najnowsze zagrożenia AI.

Nie da się jednak ukryć, że jest to rozwiązanie punktowe, często niemożliwe do zastosowania w przypadku zespołów w pełni zdalnych i rozproszonych po świecie. Brakuje czegoś bardziej systemowego – wiedzy o tym, jak konkretnie rozpoznawać deepfake, znajomości narzędzi do filtrowania i wykrywania fałszywych aplikacji jeszcze przed rozmową, procedur na wypadek wykrycia fraudu już po zatrudnieniu, a także jasnych polityk firmowych co do akceptowalnego użycia AI przez kandydatów. W większości firm to wszystko jest jeszcze do zrobienia albo pozostawione intuicji konkretnego rekrutera.

Sytuacja na rodzimym rynku jest w tym kontekście szczególnie wrażliwa. Jak pisalismy, 58% polskich pracowników nie wie, czym jest deepfake ⁶, tymczasem Polska jest największym hubem IT w Europie Środkowo-Wschodniej, z bardzo rozwiniętym rynkiem kontraktów B2B i powszechnością w pełni zdalnych rekrutacji ⁷. To kombinacja, która z perspektywy scammera wygląda atrakcyjnie, w związku z czym w najbliższych miesiącach należy się spodziewać jedynie wzrostu tego typu incydentów.

2. Jak się bronić?

Poniżej znajdziesz zestaw kroków do wdrożenia, które pomogą Ci skutecznie rozpoznać scam rekrutacyjny i pozwolą na zwiększenie poziomu bezpieczeństwa Twojego procesu. Przy tym od razu zastrzeżenie: poniższe metody działają są najskuteczniejsze wspólnie, najlepiej wdrożone w ramach konsultacji lub wniosków po dedykowanym szkoleniu. W ramach RocketHive, czyli naszej marki szkoleniowej odpowiadamy na potrzeby rynku i porzeprowadzamy szkolenia wspierające rekruterów w wykrywaniu i obronie przed fake candidates: https://rockethive.pl/szkolenia-otwarte/

A. Wprowadź przynajmniej jeden moment fizycznej weryfikacji.

Może to być rozmowa stacjonarna na ostatnim etapie, weryfikacja dokumentu tożsamości na żywo (nie skanu) albo wymóg odbioru sprzętu z konkretnego punktu z dowodem osobistym. Tę ostatnią praktykę wdrożyła m.in. firma KnowBe4 po incydencie z lipca 2024 roku (kiedy to zatrudniła fałszywego pracownika mimo czterech rozmów wideo, background checku i weryfikacji referencji). W jej obecnym procesie sprzęt wysyłany jest wyłącznie pod adres z aplikacji albo do punktu w pobliżu kandydata, gdzie konieczna jest weryfikacja tożsamości przy odbiorze. Każdy proces, który od początku do końca dzieje się przed kamerą, kryje w sobie potencjalne luki, a jak zauważa CEO KnowBe4 Stu Sjouwerman, zaawansowani aktorzy zaczynają obchodzić nawet tę barierę – wynajmując lokalnych "proxy", którzy odbierają sprzęt fizycznie ⁸. Dlatego fizyczna weryfikacja działa najlepiej w połączeniu z weryfikacją cyfrową: w bankach standardem jest już skanowanie dokumentu z funkcją liveness detection (kandydat musi obrócić głowę przed kamerą trzymając dokument) – analogiczne narzędzia (Persona, Onfido, Veriff) są dziś dostępne także dla działów HR.

B. Wpleć w rozmowę proste testy weryfikacyjne deepfake.

Poproszenie kandydata o uniesienie ręki przed twarzą, obrót głowy w bok, pokazanie konkretnego przedmiotu w kadrze – to wszystko zaburza działanie typowych nakładek AI generujących fałszywą twarz w czasie rzeczywistym. Dokładnie tę technikę zastosował zespół warszawskiego startupu Vidoc Security, gdy nabrał podejrzeń co do kandydata: gdy poprosił go o przysłonięcie twarzy dłonią, kandydat odmówił i rozmowa się zakończyła – analiza post factum potwierdziła, że twarz była wytworem AI. Warto do tego dodać dwie rzeczy. Po pierwsze, wymóg włączonej kamery bez rozmytego tła i filtrów; sama niechęć kandydata do pokazania otoczenia jest red flagiem, podobnie jak wszelkie artefakty i rozmycia na granicy twarzy widoczne podczas szybszych ruchów. Po drugie, nagrywanie rozmów za zgodą kandydata: filtr może wytrzymać 30 minut w czasie rzeczywistym, ale przy późniejszej analizie nagrania artefakty AI często stają się widoczne. Vidoc Security wprowadził nagrywanie dopiero po pierwszym incydencie – i właśnie dlatego po drugim mieli już dowód.

C. Zadawaj pytania kontekstowe.

Pytania o konkretne projekty z CV ("opowiedz mi o trudnym momencie w projekcie X"), o lokalne realia, o szczegóły, których nie da się szybko wyszukać w czasie rzeczywistym. Fałszywy kandydat – albo kandydat korzystający z AI co-pilota podczas rozmowy – najpewniej momentalnie zacznie się gubić, robić długie pauzy albo udzielać odpowiedzi w stylu, który nie pasuje do reszty rozmowy. Sprawdzonym wzorcem są pytania, które KnowBe4 nazywa "casual questions": jeśli kandydat deklaruje, że mieszka w Krakowie, pytamy o jego ulubione miejsce na obiad i co tam zwykle zamawia; jeśli studiował na konkretnej uczelni – o linię tramwajową albo autobusową, którą tam dojeżdżał. Osoba, która naprawdę tam była, odpowiada bez wahania; osoba recytująca CV z drugiego ekranu robi długą pauzę albo desperacko wystukuje prompt w drugim oknie. Skuteczne są też pytania o porażki i konflikty w projektach z CV – to obszary, których AI-coach nie podpowie z głowy, a fałszywy kandydat CV nie będzie znał szczegółów.

D. Weryfikuj LinkedIn, ślad cyfrowy i powtarzalność w aplikacjach.

Profile fałszywych kandydatów często mają jeden ze znaków szczególnych: świeżą datę utworzenia, niewiele kontaktów, niespójną historię kariery, albo zdjęcia, które po wyszukiwaniu w internecie znajdują się na innych profilach. Narzędzia do reverse image search są darmowe (Google Images, TinEye) i powinny być standardem na poziomie screeningu CV – szczególnie dla ról seniorskich, gdzie brak rozwiniętego profilu w mediach społecznościowych sam w sobie jest sygnałem ostrzegawczym. Do tego warto dodać cross-check w obrębie własnego systemu ATS: scammerzy często aplikują na różne stanowiska w tej samej firmie z różnymi nazwiskami, ale tym samym numerem telefonu lub identycznymi sformułowaniami w sekcji "doświadczenie". Innym sygnałem potencjalnym ostrzegawczym jest także numer kandydata pochodzący z VoIP (Google Voice, TextNow).

E. Zbuduj politykę firmową dotyczącą użycia AI przez kandydatów.

Komunikuj jasno, co jest akceptowalne (np. użycie AI do napisania pierwszej wersji CV), a co dyskwalifikuje kandydata (np. używanie AI co-pilota w trakcie rozmowy lub ukrywanie prompt injection w dokumentach aplikacyjnych). Sama transparentność co do wykrywania może być solidnym straszakiem, bo jeśli kandydaci wiedzą, że ich szukacie, część rezygnuje bądź też otwarcie powie, w jaki sposób użyła AI. Politykę tę zresztą najlepiej umieszczać już w treści ogłoszenia. W samej rozmowie natomiast dobrze sprawdza się pytanie wprost: "W jaki sposób użyłaś/użyłeś AI na etapie aplikacji do tego stanowiska?". Uczciwy kandydat odpowie szczerze i dalszy przebieg procesu to już kwestia przyjętego podejście; kandydat, który zaprzeczy, a następnie zacznie odpowiadać w sposób zbyt ustrukturyzowany lub z wyraźnym opóźnieniem do pytań, sam dostarcza powodu do dalszej weryfikacji.

F. Podnoś kompetencje zespołu i daj rekruterom kanał eskalacji.

Jeśli macie firmowy program szkoleń, dorzućcie do niego moduł o deepfake'ach i AI scamie w rekrutacji. Jeśli nie macie, to sygnał, że pora go uruchomić. Po szkoleniu zaś warto uruchomić proces, w ramach którego rekruter ma konkretną osobę i konkretny kanał (Slack, telefon do CISO lub IT security), do których eskaluje sprawę natychmiast; rekruter powinien mieć też prawo do wstrzymania procesu bez podawania powodu kandydatowi w danym momencie. Wielu rekruterów obawia się zatrzymać rekrutację, szczególnie blisko finala, z powodu "przeczucia", zwłaszcza gdy hiring manager naciska na szybką decyzję. Zdecydowanie lepiej jednak jestj stracić jednego dobrego kandydata niż wpuścić jednego prawdziwego scammera.

‍

(1) The Hiring Hoax: What 3,000 Managers Revealed about Hiring Fraud in 2025, Checkr, 2025, https://checkr.com/resources/articles/hiring-hoax-manager-survey-2025.

(2) Tamże.

(3) Tamże.

(4) An AI Trust Crisis: 70% of Hiring Managers Trust AI to Make Faster and Better Hiring Decisions, Only 8% of Job Seekers Call it Fair, Greenhouse Newsroom, 19 listopada 2025 (raport Greenhouse „2025 AI in Hiring", n=4 136 respondentów z USA, UK, Irlandii i Niemiec; w USA n=1 200 job seekers), https://www.greenhouse.com/newsroom/an-ai-trust-crisis-70-of-hiring-managers-trust-ai-to-make-faster-and-better-hiring-decisions-only-8-of-job-seekers-call-it-fair.

(5) Gartner Survey Shows Just 26% of Job Applicants Trust AI Will Fairly Evaluate Them, Gartner Newsroom, 31 lipca 2025, https://www.gartner.com/en/newsroom/press-releases/2025-07-31-gartner-survey-shows-just-26-percent-of-job-applicants-trust-ai-will-fairly-evaluate-them.

(6) Cyberportret polskiego biznesu 2025, ESET i DAGMA Bezpieczeństwo IT, 2025; raport podaje, że 58% pracowników nie wie, czym jest deepfake, oraz że 55% nie odbyło żadnego szkolenia z cyberbezpieczeństwa w ciągu ostatnich pięciu lat. Por. https://www.eset.com/pl/about/newsroom/press-releases/news/cyberbezpieczenstwo-polskich-firm-w-nowej-rzeczywistosci-druga-edycja-raportu-eset-i-dagma-bezpieczenstwo-it/.

(7) Fałszywe CV, deepfake na rozmowie i syntetyczne tożsamości. Polskie firmy muszą się bronić!, Infor.pl, 26 marca 2026, https://kadry.infor.pl/7550477,falszywe-cv-deepfake-na-rozmowie-i-syntetyczne-tozsamosci.html.

(8) North Korean IT Worker Threat: 10 Critical Updates to Your Hiring Process: https://blog.knowbe4.com/north-korean-it-worker-threat-10-critical-updates-to-your-hiring-process

‍