Có một mối đe dọa ngày càng tăng đối với khoản tiết kiệm hưu trí của bạn và có thể bạn không nhận thức được điều đó.
Những kẻ trộm ngày càng nhắm mục tiêu vào các tài khoản 401 (k) cá nhân bằng cách mạo danh chủ sở hữu tài khoản để kẻ gian có thể đánh cắp hàng nghìn - thậm chí hàng trăm nghìn đô la.
Heide Bartnett ở Darrien, Illinois, đã mất 245.000 đô la khi một kẻ lừa đảo sử dụng tùy chọn "quên mật khẩu" trên tài khoản 401 (k) của cô ấy để đăng nhập vào tài khoản của Bartnett. Kẻ gian sau đó đã mạo danh thành công Bartnett khi gọi đến trung tâm cuộc gọi của gói 401 (k), The Wall Street Journal đưa tin.
Hai năm sau, Bartnett chỉ lấy lại được 108.000 đô la trong số tiền bị đánh cắp của mình.
Trong một trường hợp khác, một phụ nữ đến từ Massachusetts đã bị bòn rút 200.000 đô la từ tài khoản của mình, Salem News đưa tin. Và một phụ nữ khác biết được rằng một tên trộm đã quẹt 99.000 đô la từ tài khoản 401 (k) của cô ấy, theo Bloomberg Tax.
Bạn có thể nghĩ rằng bản thân kế hoạch 401 (k) sẽ chịu trách nhiệm hoàn trả số tiền mà nó đã phát hành trong những tình huống này. Nhưng điều đó không nhất thiết phải như vậy.
Theo báo cáo của WSJ, luật liên bang không rõ ràng về việc ai phải chịu trách nhiệm về những tổn thất liên quan đến hành vi trộm cắp mạng. Và các nhà cung cấp 401 (k) có thể bao gồm ngôn từ trơn trong các điều khoản của họ nhằm trốn tránh trách nhiệm về số tiền bị mất.
Ngay cả một công ty được tôn trọng như Vanguard cho biết “nếu có bằng chứng bạn đã bỏ qua để bảo vệ tài khoản của mình một cách hợp lý, thì có thể cần phải điều tra thêm để xác định liệu chúng tôi có thể hoàn lại tiền hay không”, theo WSJ.
Vì vậy, bạn có thể làm gì để bảo vệ mình? Các bước sau đây sẽ giúp bạn giữ an toàn cho khoản tiết kiệm hưu trí.
Mạnh mẽ như thế nào là mạnh - tám ký tự? Khoảng 10 ký tự thì sao?
Hãy thử ít nhất từ 16 đến 25. Đó là những gì nhân viên tại LMG Security - nơi cung cấp các dịch vụ pháp y kỹ thuật số và an ninh mạng - khuyến nghị. Các chuyên gia khác đồng ý.
LMG cho biết những người kiểm tra khả năng thâm nhập của họ có thể phá vỡ mã băm mật khẩu tám ký tự - một phiên bản mật khẩu bị xáo trộn - trong bất kỳ thời gian nào từ ít hơn tám giờ đến khoảng bảy ngày, tùy thuộc vào bản chất của hàm băm.
Họ sẽ mất nhiều thời gian hơn một chút để bẻ khóa mật khẩu gồm 16 ký tự - 6,5 nghìn tỷ năm đến 147 nghìn tỷ năm.
Người quản lý mật khẩu cung cấp một dịch vụ tuyệt vời và họ có uy tín vững chắc về việc bảo mật thông tin của bạn.
Nhưng một chi tiết trong câu chuyện WSJ có thể khiến bạn phải dừng lại khi cân nhắc có nên sử dụng trình quản lý mật khẩu hay không.
Alight Solutions, một công ty lưu trữ hồ sơ gói 401 (k), cho biết những người tham gia gói 401 (k) cung cấp mật khẩu cho các dịch vụ của bên thứ ba tổng hợp mật khẩu hoặc dữ liệu tài khoản tài chính có thể không được hoàn trả nếu “cuộc điều tra của chúng tôi xác định rằng một sự kiện gian lận là WSJ báo cáo.
(Alight Solutions là người lưu giữ hồ sơ kế hoạch 401 (k) đã bị cáo buộc đã tiết lộ 240.000 đô la của Bartnett cho kẻ lừa đảo đã tấn công tài khoản của cô ấy.)
Điều đó có nghĩa là bạn có thể gặp may nếu một vi phạm dữ liệu dẫn đến việc đánh cắp danh tính của bạn có thể được truy xuất trở lại người quản lý mật khẩu của bạn. Vì vậy, ít nhất, bạn nên chọn một trình quản lý mật khẩu thật cẩn thận.
Xác minh hai bước, còn được gọi là xác thực hai yếu tố, thêm một lớp bảo mật cho các tài khoản trực tuyến của bạn. Thay vì chỉ cung cấp tên người dùng và mật khẩu để truy cập tài khoản của mình, bạn cũng phải cung cấp một phần thông tin khác mà bạn có, chẳng hạn như mã được gửi đến điện thoại của bạn qua tin nhắn văn bản hoặc ứng dụng xác thực.
Bước bổ sung này khiến kẻ gian khó truy cập vào tài khoản hưu trí của bạn hoặc bất kỳ tài khoản nào khác mà bạn thiết lập xác minh hai bước. Nhưng nếu bạn có mã xác minh được gửi bằng tin nhắn văn bản, thì kẻ gian lận có thể bỏ qua biện pháp bảo mật này.
Trong một trò lừa đảo được gọi là “tráo đổi SIM”, tội phạm có thể chiếm đoạt số điện thoại di động của bạn. Kẻ lừa đảo chiếm đoạt số điện thoại của bạn theo cách này có thể tạo ra những sự tàn phá không kể xiết, bao gồm cả việc lấy cắp tiền từ tài khoản 401 (k) của bạn và các tài khoản tài chính khác.
Kẻ lừa đảo thực hiện điều này bằng cách gọi cho công ty điện thoại di động của bạn, giả làm bạn và yêu cầu nhà cung cấp đổi thẻ SIM được liên kết với số điện thoại của bạn thành thẻ SIM trên điện thoại mà kẻ lừa đảo sở hữu.
Bạn nghĩ rằng nó không thể xảy ra với bạn? Điều đó đã xảy ra với Giám đốc điều hành Twitter Jack Dorsey khi kẻ gian chiếm đoạt tài khoản Twitter của Dorsey.
“SIM” là viết tắt của “mô-đun nhận dạng thuê bao” và thẻ SIM cho điện thoại di động biết mạng và số điện thoại của nhà cung cấp di động sẽ sử dụng. Vì vậy, nếu số điện thoại của bạn được liên kết với thẻ SIM của kẻ lừa đảo, kẻ lừa đảo đó sẽ nhận được cuộc gọi và tin nhắn văn bản được gửi đến số của bạn.
Có lẽ điều tồi tệ nhất của hình thức lừa đảo này là bạn có thể làm rất ít điều để ngăn chặn nó. Bạn có thể yêu cầu nhà cung cấp điện thoại di động tạo mã PIN cho tài khoản của mình để không ai có thể yêu cầu đổi thẻ SIM của bạn mà không cần cung cấp mã PIN đó trước. Tuy nhiên, những kẻ gian nói nhanh đôi khi có thể thuyết phục đại diện của công ty điện thoại thực hiện việc chuyển đổi.
Vì lý do này, các chuyên gia bảo mật khuyên bạn nên xác minh hai bước dựa vào ứng dụng xác thực thay vì xác minh qua tin nhắn văn bản. Ví dụ về các ứng dụng như vậy bao gồm Microsoft Authenticator và Authy.
Đây là một liều thuốc khó - nhưng cần thiết -.
Cũng giống như kẻ gian biết số điện thoại của bạn có thể mạo danh bạn và thuyết phục nhà cung cấp dịch vụ di động thực hiện các thay đổi đối với tài khoản di động của bạn, kẻ gian có thể gọi cho một nhà cung cấp dịch vụ tài chính và mạo danh bạn để cố gắng truy cập vào tài khoản hưu trí của bạn.
Nếu kẻ gian đã tráo đổi SIM và do đó dường như đang gọi từ số điện thoại được liên kết với tài khoản hưu trí của bạn, kẻ gian đó có thể thuyết phục nhà cung cấp dịch vụ tài chính cấp cho người đó quyền truy cập vào tài khoản hưu trí của bạn.
Một cách để ngăn chặn loại gian lận danh tính này là cung cấp cho nhà cung cấp dịch vụ tài chính của bạn một số điện thoại khác mà bạn giữ bí mật bằng cách không sử dụng nó cho bất kỳ việc gì khác. Nghe có vẻ như quá mức cần thiết? Hãy nhớ rằng, một phần lớn trong số tiền tiết kiệm cả đời của bạn có thể bị đe dọa nếu ai đó có thể nhúng vào tài khoản hưu trí của bạn và tiêu sạch.
Ben Taylor, một nhà tư vấn tại công ty tư vấn đầu tư Callan, nói với WSJ rằng bằng cách thực hiện tùy chọn thiết lập tài khoản trực tuyến, bạn sẽ đánh bại kẻ gian.
Như anh ấy nói, “những tài khoản trực tuyến không được xác nhận quyền sở hữu dễ bị những kẻ mạo danh kiểm soát hơn.”
Nói cách khác, nếu bạn có tùy chọn thiết lập tài khoản trực tuyến và bạn lợi dụng nó, kẻ trộm danh tính sẽ không thể mở tài khoản dưới danh nghĩa của bạn và sau đó kiểm soát tài khoản đó.
Có những lý do chính đáng để giữ tất cả quỹ hưu trí của bạn với một nhà cung cấp dịch vụ tài chính duy nhất. Nó không chỉ thuận tiện hơn mà nhiều nhà cung cấp sẽ cắt giảm phí cho bạn hoặc cung cấp các đặc quyền khác khi bạn tích lũy nhiều tiền hơn với họ.
Nhưng cũng có một rủi ro:Nếu tất cả tiền của bạn là của một nhà cung cấp và một kẻ lừa đảo chiếm giữ tài khoản đó, bạn có thể bị xóa sổ.
Bằng cách có một số tiền hưu trí của bạn - ví dụ, tài khoản hưu trí cá nhân của bạn và các quỹ tài khoản tiết kiệm sức khỏe - với một nhà cung cấp riêng biệt, ít nhất bạn sẽ giảm thiểu rủi ro mà bạn có thể mất tiền tiết kiệm cuộc sống của mình chỉ qua một đêm.
Cố vấn tài chính của Houston, Michelle Gessner, nói với MarketWatch về những khách hàng trước đây từng là mục tiêu của hành vi trộm cắp danh tính. Cặp đôi từng khẳng định với Gessner rằng họ không muốn hợp nhất tài sản hưu trí của mình với một nhà cung cấp duy nhất, ngay cả khi điều đó có nghĩa là phải từ bỏ một số lợi ích tài chính khiêm tốn.
Gessner nói với MarketWatch rằng nỗi sợ trở thành “vịt ngồi” lần thứ hai của cặp đôi “là có thật và có thể hiểu được”. “Đây là một mối quan tâm thực sự.”