İş dünyası, yapay zekanın (YZ) sunduğu verimlilik artışını kutlarken, madalyonun karanlık yüzü İK departmanlarını kuşatmaya başladı. “Kusursuz fırtına” olarak adlandırılan bu yeni dönemde; gelişmiş deepfake teknolojileri, otonom YZ ajanları ve sofistike kimlik bürünme (impersonation) teknikleri, işe alım süreçlerini ve bordro güvenliğini daha önce hiç olmadığı kadar tehdit ediyor.
HRtoday olarak incelediğimiz son veriler, 2026 yılının “kimlik bürünme saldırıları yılı” olacağını gösteriyor. Gartner’ın çarpıcı öngörüsüne göre, 2028 yılına kadar dünya genelindeki her 4 aday profilinden biri sahte olacak. Bu durum, sadece bir güvenlik açığı değil; güven üzerine kurulu olan İK ekosisteminin temellerini sarsan stratejik bir krizdir.
Yapay Zeka Dolandırıcılığında Yeni Boyut: Deepfake Adaylar
Geleneksel özgeçmiş süslemeleri artık yerini tamamen kurgulanmış dijital kimliklere bırakıyor. Dolandırıcılar, YZ kullanarak sadece profesyonel görünen özgeçmişler hazırlamakla kalmıyor; video mülakatlarda gerçek zamanlı deepfake filtreleri kullanarak başka birinin kimliğine bürünüyor veya tamamen hayali bir profesyonel yaratabiliyor.
Özellikle uzaktan çalışma modelinin yaygın olduğu bilişim ve finans sektörlerinde, bu sahte adaylar mülakatları başarıyla geçip işe yerleşebiliyor. Bu “hayalet çalışanların” temel amacı genellikle şirketin hassas verilerine erişmek, bordro sistemini manipüle etmek veya kurumsal ağlara sızarak fidye yazılımı saldırılarına zemin hazırlamaktır.
Kimlik Hırsızlığı Saldırıları Neden İK’yı Hedef Alıyor?
İK departmanları, bir organizasyonun en hassas verilerine —banka bilgileri, kimlik numaraları, adresler ve özel sağlık verileri— erişimi olan kapı bekçileridir. Dolandırıcılar için İK, “sosyal mühendislik” saldırıları için en savunmasız ve en ödüllü noktadır.
Bordro Manipülasyonu: Çalışanların kimliğine bürünerek maaş ödemelerinin yapıldığı banka hesap bilgilerini değiştirme talepleri hızla artıyor.
Onboarding Riskleri: İşe yeni giren birinin kimlik doğrulama sürecindeki boşluklar, kötü niyetli aktörlerin şirkete “yasal” bir çalışan gibi sızmasına neden oluyor.
BT Destek Mühendisliği: YZ ses klonlama teknolojisi ile bir yöneticinin sesini taklit eden dolandırıcılar, İK veya BT ekiplerinden kritik şifre sıfırlama işlemlerini talep edebiliyor.
Geleneksel Doğrulama Yöntemlerinin Sonu
Yalnızca video mülakat yapmak veya e-posta üzerinden kimlik belgesi istemek artık yeterli bir güvenlik duvarı oluşturmuyor. 2024 ve 2025 verileri, mülakatçıların %81’inin adayların YZ araçlarını kullanarak kopya çektiğinden şüphelendiğini gösteriyor. Bu durum, dev şirketleri “ofise dönüş” yerine “mülakata dönüş” stratejisine itiyor. Google ve Cisco gibi teknoloji devleri, aday güvenilirliğini sağlamak için en az bir tur yüz yüze mülakat şartını yeniden getirmeye başladı.
Kritik Veriler ve Öne Çıkan Noktalar
1/4 Oranı: 2028’e kadar aday profillerinin %25’inin sahte olacağı tahmin ediliyor.
%3000 Artış: Deepfake tabanlı kimlik avı (phishing) saldırılarında son iki yılda kaydedilen patlama.
Maliyet: Deepfake bağlantılı her bir güvenlik ihlalinin şirketlere ortalama maliyeti 500.000 doları buluyor.
Yüz Yüze Dönüş: İşe alım liderlerinin %72’si, dolandırıcılıkla mücadele için yüz yüze mülakatları stratejik bir öncelik olarak görüyor.
Yanıltıcı Özgeçmiş: Adayların %72’si özgeçmişlerinde, %38’i ise mülakatlarda yalan söylediğini itiraf ediyor; YZ bu durumu “otomatize” ediyor.
HRtoday Editörünün Yorumu: İK Stratejileri Açısından Ne Anlama Geliyor?
Türkiye pazarında özellikle teknoloji ve dış kaynak (outsourcing) odaklı çalışan firmalar için bu durum ciddi bir alarm zili niteliğindedir. Globaldeki “impersonation” trendi, yerel pazarda da bordro dolandırıcılığı ve sahte yetkinlik beyanları olarak karşımıza çıkacaktır.
Stratejik Öneri: İK liderleri artık sadece “insan sarrafı” değil, “dijital dedektif” olmak zorundadır. İşe alım süreçlerine çok katmanlı doğrulama sistemleri (blockchain tabanlı diploma doğrulama, canlılık testi içeren biyometrik mülakat araçları) entegre edilmelidir. Ayrıca, uzaktan çalışan personelin kimlik doğrulaması “tek seferlik” bir işlemden “sürekli izleme” (continuous verification) modeline evrilmelidir. Güven, artık bir varsayım değil, periyodik olarak doğrulanması gereken bir veri birimidir.
Sıkça Sorulan Sorular
S: Bir adayın deepfake olup olmadığını mülakat sırasında nasıl anlayabiliriz? C: Adaydan başını hızla yanlara çevirmesini, elini yüzünün önünde sallamasını veya profil görüntüsü vermesini isteyebilirsiniz. Mevcut YZ filtreleri bu tür hızlı hareketlerde genellikle görüntüde kırılmalar yaşar.
S: YZ destekli dolandırıcılık sadece işe alımı mı etkiliyor? C: Hayır. Mevcut çalışanların sesini veya görüntüsünü taklit ederek İK’dan ödeme bilgilerini değiştirme talebinde bulunmak gibi “içeriden” görünen dış saldırılar da büyük risk oluşturuyor.
S: Şirketimi korumak için hangi teknolojiye yatırım yapmalıyım? C: Çok faktörlü kimlik doğrulama (MFA) sistemlerini bordro süreçlerine entegre etmeli ve “canlılık tespiti” (liveness detection) yapabilen mülakat platformlarını tercih etmelisiniz.
Kaynakça
Kaynak 1: HR Dive – “Fraud attacks expected to ramp up in AI ‘perfect storm'” (Jan 6, 2026)
Kaynak 2: Gartner – “Workforce Impersonation Report 2026”
Kaynak 3: Pindrop – “Deepfake Candidate Problem Analysis”
Kaynak 4: Keepnet Labs – “Deepfake Statistics & Trends 2025”
