Deepfake Job Candidates: स्कैमर्स कंपनियों में कैसे घुस जाते हैं
Deepfake नौकरी के उम्मीदवार AI का उपयोग कर वीडियो इंटरव्यू पास करते हैं। I4C और CERT-In ने इस खतरे के बारे में चेतावनी दी है। जानें 2026 में deepfake job interview scam कैसे काम करता है।
· Truvizy Research Team · 8 min read
TL;DR
अपराधी डीपफेक तकनीक और चोरी की गई पहचान का उपयोग करके दूरस्थ नौकरी के इंटरव्यू पास कर रहे हैं, वैध कंपनियों में नौकरी पा रहे हैं, और फिर डेटा चुरा रहे हैं, मैलवेयर इंस्टॉल कर रहे हैं या वेतन को विदेशों में भेज रहे हैं। एफबीआई ने 2022 की शुरुआत में ही चेतावनी जारी की थी, और 2026 में अधिक सुलभ एआई उपकरणों के साथ यह खतरा और बढ़ गया है। उम्मीदवारों को लाइव बैकग्राउंड चेक और व्यक्तिगत द्वितीयक इंटरव्यू के माध्यम से सत्यापित करना अब आवश्यक है।
आपकी एचआर टीम ने अभी-अभी एक वरिष्ठ सॉफ्टवेयर इंजीनियर पद के लिए एक आशाजनक ज़ूम साक्षात्कार पूरा किया है। उम्मीदवार स्पष्टवादी, तकनीकी रूप से तेज था, और उसका बायोडाटा पूरी तरह से सही पाया गया। आपने नौकरी का प्रस्ताव दिया। नौकरी शुरू होने के तीन सप्ताह के भीतर, आपकी सुरक्षा टीम ने उनके खाते से असामान्य डेटा चोरी गतिविधि को चिह्नित किया। एक फोरेंसिक ऑडिट से पता चला कि "कर्मचारी" वह कभी नहीं था जो उसने दावा किया था, उसने हर वीडियो कॉल के दौरान एआई-जनरेटेड फेस ओवरले, एक चोरी की पहचान और जाली दस्तावेजों का इस्तेमाल करके नौकरी हासिल की थी। आपकी कंपनी का कोडबेस, ग्राहक डेटा और आंतरिक सिस्टम चुपचाप लूट लिए गए हैं। यह डीपफेक नौकरी उम्मीदवार घोटाला है, और यह इस समय हर उद्योग की कंपनियों के साथ हो रहा है।
डीपफेक नौकरी उम्मीदवार घोटाला क्या है?
डीपफेक नौकरी उम्मीदवार घोटाला पहचान-सक्षम भर्ती धोखाधड़ी का एक रूप है जिसमें अपराधी दूरस्थ वीडियो नौकरी साक्षात्कारों के दौरान एक वैध व्यक्ति, या पूरी तरह से गढ़ी हुई पहचान, का प्रतिरूपण करने के लिए वास्तविक समय के एआई फेस-स्वैपिंग टूल का उपयोग करते हैं। एफबीआई ने जून 2022 में इस खतरे पर अपनी पहली औपचारिक सलाह जारी की, जिसमें नियोक्ताओं को चेतावनी दी गई थी कि दूरस्थ प्रौद्योगिकी पदों के लिए आवेदन करने वाले डीपफेक उम्मीदवारों की रिपोर्ट में काफी वृद्धि हुई है। 2025 तक, यह रणनीति एक मुख्यधारा की धोखाधड़ी विधि बन गई थी, न कि एक विशिष्ट जिज्ञासा।
ये धोखेबाज सिर्फ वेतन नहीं चाहते। कई संगठित आपराधिक नेटवर्क का हिस्सा हैं, जिनमें, अमेरिकी न्याय विभाग के अनुसार, उत्तर कोरियाई राज्य-प्रायोजित आईटी कर्मचारी शामिल हैं जो हथियारों के कार्यक्रमों के लिए कड़ी मुद्रा उत्पन्न करने और जासूसी करने के लिए अमेरिकी कंपनियों में घुसपैठ करते हैं। अन्य आर्थिक रूप से प्रेरित अपराधी हैं जो डार्क वेब बाजारों पर चोरी किए गए क्रेडेंशियल, डेटा और सिस्टम एक्सेस का मुद्रीकरण करते हैं।
यह घोटाला तीन अभिसारी कारकों से संभव हुआ है: व्यक्तिगत सत्यापन के बिना पूरी तरह से दूरस्थ भर्ती का सामान्यीकरण, वास्तविक समय के फेस-स्वैपिंग सॉफ्टवेयर की व्यावसायिक उपलब्धता जिसकी लागत प्रति माह $30 से कम है, और चोरी की गई व्यक्तिगत पहचान की वैश्विक आपूर्ति जिसका उपयोग धोखेबाज अंतर्निहित नकली व्यक्तित्व के रूप में करते हैं।
डीपफेक नौकरी साक्षात्कार घोटाले कैसे काम करते हैं
हमला किसी भी साक्षात्कार से हफ्तों या महीनों पहले शुरू होता है। धोखेबाज एक चोरी की पहचान प्राप्त करता है, एक वास्तविक व्यक्ति का नाम, बायोडाटा इतिहास, शैक्षिक क्रेडेंशियल, और कभी-कभी उनका लिंक्डइन प्रोफाइल भी, जिसे वे क्लोन या प्रतिरूपित करते हैं। वे पेशेवर बायोडाटा लेखन सेवाओं के लिए भुगतान कर सकते हैं और डिस्पोजेबल फोन नंबरों और ईमेल पतों द्वारा समर्थित मनगढ़ंत संदर्भों से कमियों को भर सकते हैं।
जब वीडियो साक्षात्कार निर्धारित होता है, तो धोखेबाज एक वास्तविक समय का फेस-रिप्लेसमेंट टूल लोड करता है, एक सॉफ्टवेयर जो उनके लाइव कैमरा फीड को चोरी की पहचान की तस्वीरों के बाद मॉडल किए गए एक सिंथेटिक चेहरे से बदल देता है। आउटपुट को एक वर्चुअल कैमरे के रूप में वीडियो कॉन्फ्रेंसिंग प्लेटफॉर्म में फीड किया जाता है। कॉल के दौरान, धोखेबाज स्वाभाविक रूप से बोल सकता है जबकि एआई लगभग वास्तविक समय में एक अलग चेहरा प्रस्तुत करता है। सिर के झुकाव, भाव और मुंह की हरकतें अनुमानित होती हैं, हालांकि शायद ही कभी पूरी तरह से।
एक बार नौकरी पर रखे जाने के बाद, अपराधी अपनी वास्तविक भौगोलिक स्थिति छिपाने के लिए VPN या रिमोट डेस्कटॉप रिले का उपयोग करके ऑनबोर्ड होता है। वे पर्दे के पीछे वास्तविक कर्मचारियों की एक टीम को "नियुक्त" कर सकते हैं जो वास्तविक नौकरी के कर्तव्यों को संभालते हैं, जबकि वे डेटा निकालने पर ध्यान केंद्रित करते हैं। वेतन आमतौर पर विदेशी क्रिप्टोकरेंसी वॉलेट या मनी म्यूल खातों में भेजा जाता है। यह पूरा ऑपरेशन महीनों तक बिना पता चले चल सकता है।
नीचे दी गई तालिका हमले के चरणों और प्रत्येक चरण में आमतौर पर क्या होता है, इसका सारांश प्रस्तुत करती है:

डीपफेक नौकरी उम्मीदवारों को पहचानने के लिए चेतावनी संकेत
प्रशिक्षित HR पेशेवर और हायरिंग मैनेजर प्रस्ताव दिए जाने से पहले कई डीपफेक नौकरी उम्मीदवारों को पहचान सकते हैं। निम्नलिखित लाल झंडे अतिरिक्त सत्यापन को ट्रिगर करने चाहिए:
भर्ती का निर्णय लेने से पहले डीपफेक हेरफेर का पता लगाने के लिए Truvizy के साथ एक संदिग्ध वीडियो साक्षात्कार रिकॉर्डिंग को स्कैन करें।
Truvizy डीपफेक साक्षात्कार धोखाधड़ी का पता कैसे लगाता है
Truvizy का AI-संचालित मल्टी-लेयर विश्लेषण विशेष रूप से इस खतरे के लिए डिज़ाइन किया गया है। जब आप truvizy.app पर रिकॉर्ड किए गए वीडियो साक्षात्कार का लिंक अपलोड या सबमिट करते हैं, तो प्लेटफ़ॉर्म दृश्य, अस्थायी और व्यवहारिक आयामों में उन्नत पैटर्न पहचान लागू करता है। सिस्टम फ्रेम की निरंतरता, चेहरे की सीमा की सुसंगतता, सूक्ष्म-अभिव्यक्ति की प्रामाणिकता और ऑडियो-विजुअल संरेखण की जांच करता है, ऐसे पैटर्न जो डीपफेक-जनित वीडियो में सांख्यिकीय रूप से असामान्य होते हैं लेकिन प्रामाणिक रिकॉर्डिंग में स्वाभाविक रूप से दिखाई देते हैं।
Truvizy का पता लगाने वाला सिस्टम HR टीमों को एक कार्रवाई योग्य आत्मविश्वास स्कोर और पता लगाई गई विसंगतियों का सरल भाषा में विवरण प्रदान करता है। सामान्य वीडियो विश्लेषण टूल के विपरीत, Truvizy को विशेष रूप से उभरते सिंथेटिक मीडिया खतरों पर प्रशिक्षित किया गया है और नई डीपफेक जनरेशन तकनीकों के उभरने पर लगातार अपडेट किया जाता है। उच्च-मात्रा में रिमोट हायरिंग चलाने वाली कंपनियों के लिए, Truvizy का विश्लेषण एक महत्वपूर्ण सत्यापन परत जोड़ता है जिसे मैन्युअल समीक्षा बड़े पैमाने पर विश्वसनीय रूप से प्रदान नहीं कर सकती।
यदि आप किसी डीपफेक नौकरी आवेदक का सामना करते हैं तो क्या करें
यदि आपको संदेह है कि कोई नौकरी उम्मीदवार डीपफेक तकनीक का उपयोग कर रहा है, तो साक्षात्कार के दौरान उन्हें सचेत न करें। किसी संगठित आपराधिक नेटवर्क को जानकारी मिलने से बचने के लिए प्रक्रिया को सामान्य रूप से मानें। फिर ये कदम उठाएं:

Key Takeaways
- डीपफेक नौकरी के उम्मीदवार दूरस्थ वीडियो साक्षात्कारों को पास करने के लिए एआई फेस-स्वैपिंग का उपयोग करते हैं और फिर डेटा चुराते हैं, मैलवेयर स्थापित करते हैं, या पेरोल को विदेशी खातों में पुनर्निर्देशित करते हैं।
- एफबीआई ने 2022 से इस खतरे के बारे में औपचारिक रूप से चेतावनी दी है, जिसमें उत्तर कोरियाई राज्य-प्रायोजित कार्यकर्ता सबसे संगठित अपराधियों में से हैं।
- मुख्य पहचान संकेतों में सिर घुमाने पर वीडियो में देरी, ऑडियो-विजुअल सिंक समस्याएं, और फोटो आईडी शामिल हैं जो लाइव कैमरा फ़ीड से मेल नहीं खाती हैं।
- फाइनलिस्ट के लिए व्यक्तिगत पहचान सत्यापन की आवश्यकता है और उच्च-पहुंच वाली भूमिकाओं के लिए प्रस्ताव देने से पहले Truvizy के साथ साक्षात्कार रिकॉर्डिंग को स्कैन करें।
एक वीडियो साक्षात्कार के दौरान, आप देखते हैं कि जब उम्मीदवार अपना सिर तेजी से घुमाते हैं तो उनका चेहरा थोड़ा गड़बड़ाता हुआ प्रतीत होता है, और उनके बालों के किनारे धुंधले दिखते हैं। अगला सबसे उचित कदम क्या है?
- इसे अनदेखा करें, यह शायद सिर्फ एक खराब इंटरनेट कनेक्शन है
- साक्षात्कार तुरंत समाप्त करें और उन पर धोखाधड़ी का आरोप लगाएं
- साक्षात्कार सामान्य रूप से पूरा करें, फिर रिकॉर्डिंग को स्कैन करें और किसी भी प्रस्ताव से पहले व्यक्तिगत आईडी सत्यापन की आवश्यकता है
- उनसे नमस्ते करने के लिए कहें और यदि वे ऐसा करते हैं तो सब कुछ ठीक मान लें
Answer: सही तरीका यह है कि सबूत इकट्ठा करते समय धोखेबाज को सतर्क न किया जाए। रिकॉर्डिंग सहेजें, इसे एआई-संचालित पहचान उपकरणों से स्कैन करें, और कोई भी प्रस्ताव देने से पहले लाइव व्यक्तिगत या नोटरीकृत आईडी सत्यापन की आवश्यकता है। दस्तावेजी सबूत के बिना कभी आरोप न लगाएं। ऐसे मामलों की रिपोर्ट CERT-In (भारतीय कंप्यूटर इमरजेंसी रिस्पांस टीम) या I4C (भारतीय साइबर अपराध समन्वय केंद्र) को करें।
डीपफेक वीडियो कॉल: कैसे स्कैमर जूम पर आपके बॉस का प्रतिरूपण करते हैं — लाइव जूम और टीम्स कॉल के दौरान रीयल-टाइम डीपफेक तकनीक का उपयोग किया जा रहा है, यहां बताया गया है कि इसका पता कैसे लगाएं और इससे बचाव कैसे करें
डीपफेक वीडियो को कैसे पहचानें: पूर्ण पहचान मार्गदर्शिका — सिंथेटिक वीडियो सामग्री की पहचान के लिए दृश्य संकेत, तकनीकी संकेत और एआई-संचालित उपकरण
डीपफेक सुरक्षा मार्गदर्शिका: अपनी और अपने संगठन की रक्षा करें — व्यक्तिगत और संगठनात्मक स्तर पर डीपफेक खतरों से बचाव के लिए व्यापक रणनीतियाँ
FAQ
डीपफेक जॉब कैंडिडेट स्कैम क्या है?
एक डीपफेक जॉब कैंडिडेट स्कैम तब होता है जब कोई धोखेबाज AI-संचालित फेस-स्वैपिंग सॉफ्टवेयर और चोरी की गई या मनगढ़ंत पहचान का उपयोग करके दूरस्थ वीडियो जॉब इंटरव्यू पास करता है। एक बार नौकरी पर रखने के बाद, अपराधी कंपनी का डेटा चुराने, मैलवेयर तैनात करने या वेतन भुगतान को पुनर्निर्देशित करने के लिए अपनी पहुंच का उपयोग करता है। CERT-In के अनुसार, ये घटनाएं तेजी से बढ़ रही हैं और अब प्रौद्योगिकी, वित्त और स्वास्थ्य सेवा कंपनियों को निशाना बना रही हैं।
क्या Truvizy डीपफेक जॉब कैंडिडेट्स का पता लगा सकता है?
हाँ। Truvizy का AI-संचालित मल्टी-लेयर विश्लेषण जॉब इंटरव्यू से वीडियो रिकॉर्डिंग का विश्लेषण करके सिंथेटिक चेहरे की हेरफेर, असंगत प्रकाश व्यवस्था, अप्राकृतिक पलक झपकने के पैटर्न और ऑडियो-विजुअल बेमेल का पता लगा सकता है जो डीपफेक तकनीक का संकेत देते हैं। HR टीमें ऑफर देने से पहले सीधे truvizy.app पर इंटरव्यू रिकॉर्डिंग को स्कैन कर सकती हैं।
मुझे कैसे पता चलेगा कि कोई नौकरी आवेदक डीपफेक का उपयोग कर रहा है?
मुख्य चेतावनी संकेतों में शामिल हैं: जब आवेदक अपना सिर हिलाता है तो वीडियो में हल्का लैग, कैमरे पर बगल में मुड़ने या अपने परिवेश को दिखाने से इनकार, बेमेल लिप सिंक, अत्यधिक चिकनी त्वचा की बनावट, बाल या चश्मे के किनारे जो ग्लिच करते हैं, और उनकी वीडियो उपस्थिति और सबमिट की गई आईडी तस्वीरों के बीच असंगति। उम्मीदवार को कोई अप्रत्याशित सहज क्रिया करने के लिए कहने से भी डीपफेक की सीमाएं सामने आ सकती हैं।
डीपफेक जॉब स्कैम द्वारा कौन से उद्योग सबसे अधिक लक्षित होते हैं?
CERT-In की सलाह के अनुसार, दूरस्थ प्रौद्योगिकी भूमिकाएं सबसे अधिक लक्षित होती हैं, सॉफ्टवेयर इंजीनियर, IT प्रशासक, डेटाबेस प्रबंधक और क्लाउड इन्फ्रास्ट्रक्चर भूमिकाएं। स्वास्थ्य सेवा IT और फिनटेक भी उच्च-मूल्य वाले लक्ष्य हैं क्योंकि इन भूमिकाओं को संवेदनशील डेटा तक पहुंच मिलती है। CERT-In ने विशेष रूप से बताया कि उत्तर कोरियाई IT कर्मचारियों ने अमेरिकी प्रौद्योगिकी कंपनियों में घुसपैठ करने के लिए इस विधि का उपयोग किया है।
यदि कंपनियों ने एक डीपफेक कैंडिडेट को काम पर रखा है तो उन्हें क्या करना चाहिए?
तुरंत सभी सिस्टम तक पहुंच निलंबित करें, क्रेडेंशियल रद्द करें और अपनी घटना प्रतिक्रिया टीम या साइबर सुरक्षा फर्म को शामिल करें। CERT-In या I4C (भारतीय साइबर अपराध समन्वय केंद्र) के साथ एक रिपोर्ट दर्ज करें। अपने HR और कानूनी विभागों और किसी भी प्रभावित ग्राहक या डेटा कस्टोडियन को सूचित करें। धोखाधड़ी वाले कर्मचारी द्वारा ऑनबोर्डिंग के बाद से किए गए डेटा एक्सेस और सिस्टम परिवर्तनों का पूर्ण ऑडिट करें।