Hoe een nepkandidaat wordt aangenomen, niet alleen hoe hij u oplicht

De meeste eigenaren wapenen zich nu tegen de deepfake die van buitenaf aanvalt: de gekloonde stem van een CFO die een overboeking goedkeurt, de videocall die synthetisch blijkt te zijn. Het patroon in de waarschuwingen van juni 2026 van kantoren als Skadden en Crowell verloopt de andere kant op. Hier belt de deepfake geen fraude in. Hij solliciteert naar een baan. Hij doorstaat het live video-interview, dient een AI-gegenereerd portfolio en een schoon ogende werkgeschiedenis in, en presenteert een gestolen of geleende identiteit die een standaard achtergrondcontrole doorstaat. Vervolgens wordt hij aangenomen voor een remote engineering- of IT-functie, en niemand in uw bedrijf heeft ooit de persoon achter het scherm ontmoet.

De berichtgeving beschrijft staatsgelieerde operatives die deze methoden op grote schaal gebruiken. Eenmaal binnen ontvangt de werknemer een salaris, krijgt legitieme toegang tot code en klantgegevens, en sluist in gedocumenteerde handhavingszaken het loon naar het buitenland, soms terwijl een binnenlandse facilitator de bedrijfslaptop onderbrengt in een zogenoemde laptopfarm om de werkelijke locatie te verbergen. Aanklagers hebben ruim honderd bedrijfsslachtoffers in diverse sectoren genoemd. Het ongemakkelijke punt voor een eigenaar is dat de fraude geen enkele gestolen overboeking is die u kunt terughalen. Het is een persoon op uw loonlijst met een badge, een login en tijd.

Waarom het risico bij u belandt, het bedrijf dat hen aannam

De reflex is om aan te nemen dat een bedrijf dat door een professionele operatie is misleid simpelweg een slachtoffer is, en tot op zekere hoogte beschrijven de waarschuwingen aanwervende bedrijven ook zo. De hardere realiteit is dat het downstream-risico toch bij de werkgever belandt. Als een operative broncode, klantgegevens of bedrijfsgeheimen exfiltreert, draagt u de verplichtingen rond datalek en meldplicht. Als hij gecontroleerde technologie heeft aangeraakt, draagt u de exportcontrolevraag. En waar een gesanctioneerd rechtsgebied bij betrokken is, kan sanctieaansprakelijkheid op basis van risicoaansprakelijkheid ontstaan, wat betekent dat het risico kan bestaan zelfs waar het bedrijf niet wist wie het werkelijk betaalde. De waarschuwingen beschrijven geen expliciete safe harbor die een onbedoelde aanstelling vrijpleit.

Niets hiervan is een voorspelling over uw firma, en niets hier is juridisch advies of een beschuldiging tegen enig individu. Het is een beschrijving van een patroon dat toezichthouders en advocatenkantoren nu signaleren, en van waar de gevolgen liggen. De handhaving tot nu toe heeft aanwervende bedrijven grotendeels als slachtoffer behandeld in plaats van als doelwit, maar dezelfde richtlijnen geven aan dat een firma met zwakke wervings- en monitoringcontroles in een heel andere positie staat dan een firma die kan aantonen dat zij heeft gecontroleerd. Voor een remote-first bedrijf dat engineers aanneemt die u nooit de hand zult schudden, is dat onderscheid het hele spel.

Wat eigenaren die remote engineers aannemen echt moeten controleren

De verdedigingen zijn niet exotisch en ze zijn niet duur in verhouding tot het risico. Verifieer liveness goed in plaats van erop te vertrouwen dat een werkende camera een echt persoon betekent: een stap in persoon waar haalbaar, of interviewtechnieken die robuust genoeg zijn om een synthetische feed te belasten, zoals de kandidaat vragen te bewegen, een voorwerp omhoog te houden, of de omgeving op verzoek te veranderen. Verifieer diploma's en referenties onafhankelijk, door instellingen en vorige werkgevers te benaderen via kanalen die u zelf vindt in plaats van de telefoonnummers en e-mailadressen die de kandidaat aanlevert. Behandel identiteitsdocumenten als iets om tegen de persoon te bevestigen, niet slechts te verzamelen.

Twee operationele controles doen veel stil werk. Verstuur bedrijfshardware alleen naar het geverifieerde adres op het identiteitsdocument, nooit naar een doorstuuradres of een dropadres, wat de laptopfarm-mechanic rechtstreeks doorbreekt. En vereis hardwaregebaseerde multifactorauthenticatie gekoppeld aan het uitgegeven apparaat, zodat een login vanuit een onverwacht land niet zomaar doorglipt. Let op de signalen die terugkeren in de berichtgeving: niet-overeenkomende login-geografieen, terughoudendheid om onder wisselende omstandigheden op camera te verschijnen, en druk om loon of apparatuur ergens anders heen te sturen dan naar de geverifieerde identiteit. Stel HR en IT samen een vraag over uw laatste paar remote aanstellingen: kunnen we vandaag bewijzen dat elk van hen is wie zij zeiden te zijn.