Вашим пенсионным накоплениям угрожает растущая угроза, и вы, вероятно, не знаете об этом.
Воры все чаще атакуют отдельные учетные записи 401(k), выдавая себя за владельцев учетных записей, чтобы мошенники могли украсть тысячи или даже сотни тысяч долларов.
Хайде Бартнетт из Дарриена, штат Иллинойс, потеряла 245 000 долларов, когда мошенник воспользовался опцией «забыл пароль» в ее учетной записи 401(k), чтобы войти в учетную запись Бартнетт. Позже мошенник успешно выдал себя за Бартнетта, когда позвонил в колл-центр плана 401(k), сообщает The Wall Street Journal.
Два года спустя Бартнетт вернула всего 108 000 долларов украденных средств.
В другом случае у женщины из Массачусетса были выкачаны 200 000 долларов со счета, сообщает Salem News. А еще одна женщина узнала, что вор похитил 99 000 долларов США с ее счета 401(k), согласно налоговой службе Bloomberg.
Вы можете подумать, что сам план 401(k) будет нести ответственность за возмещение средств, высвобожденных в таких ситуациях. Но это не обязательно так.
Как сообщает WSJ, в федеральном законе неясно, кто несет ответственность за убытки, связанные с кибер-кражей. А провайдеры 401(k) могут включать в свои условия скользкие формулировки, чтобы избежать ответственности за потерянные деньги.
Даже такая уважаемая компания, как Vanguard, заявляет, что «если есть доказательства того, что вы пренебрегали разумной защитой своей учетной записи, может потребоваться дальнейшее расследование, чтобы определить, можем ли мы выдать возмещение», согласно WSJ.
Итак, что вы можете сделать, чтобы защитить себя? Следующие шаги помогут сохранить ваши пенсионные сбережения в безопасности.
Насколько сильна сила — восемь символов? Как насчет 10 символов?
Попробуйте по крайней мере от 16 до 25. Это то, что рекомендуют люди из LMG Security, которая предоставляет услуги кибербезопасности и цифровой криминалистики. С этим согласны и другие эксперты.
LMG заявляет, что ее специалисты по тестированию на проникновение могут взломать восьмисимвольный хэш пароля — зашифрованную версию пароля — за время от восьми часов до примерно семи дней, в зависимости от характера хеша.
Им требуется немного больше времени, чтобы взломать 16-символьный хэш пароля — от 6,5 триллионов лет до 147 триллионов лет.
Менеджеры паролей предоставляют отличные услуги и имеют надежную репутацию в области обеспечения безопасности вашей информации.
Но одна деталь в истории WSJ может заставить вас задуматься, стоит ли использовать диспетчер паролей.
Alight Solutions, хранитель плана 401(k), говорит, что участникам плана 401(k), которые передают пароли сторонним службам, агрегированные пароли или данные финансового счета могут не возмещаться, если «наше расследование установит, что событие мошенничества отслеживается» до такого сервиса, сообщает WSJ.
(Alight Solutions является хранителем плана 401(k), который якобы передал 240 000 долларов Бартнетт мошеннику, который атаковал ее аккаунт.)
Это означает, что вам может не повезти, если утечку данных, которая привела к краже вашей личности, можно будет отследить до вашего менеджера паролей. Так что, по крайней мере, вы должны очень тщательно выбирать менеджер паролей.
Двухэтапная проверка, также называемая двухфакторной аутентификацией, добавляет уровень безопасности вашим онлайн-аккаунтам. Вместо того, чтобы предоставлять только имя пользователя и пароль для доступа к своей учетной записи, вы также должны предоставить другую имеющуюся у вас информацию, например код, отправленный на ваш телефон с помощью текстового сообщения или приложения для проверки подлинности.
Этот дополнительный шаг усложняет доступ мошенникам к вашей пенсионной учетной записи или любой другой учетной записи, для которой вы настроили двухэтапную проверку. Но если у вас есть коды подтверждения, отправленные в текстовом сообщении, мошенник может обойти эту меру безопасности.
В мошенничестве, известном как «обмен SIM-картой», преступник может украсть ваш номер мобильного телефона. Мошенник, который таким образом завладеет вашим номером телефона, может создать неописуемый хаос, в том числе украсть деньги с вашего счета 401(k) и других финансовых счетов.
Мошенник делает это, звоня в вашу сотовую компанию, выдавая себя за вас, и просит оператора заменить SIM-карту, связанную с вашим номером телефона, на SIM-карту в телефоне, который находится во владении мошенника.
Думаете, это не может случиться с вами? Это случилось с генеральным директором Twitter Джеком Дорси, когда мошенник завладел аккаунтом Дорси в Twitter.
«SIM» — это сокращение от «модуль идентификации абонента», а SIM-карта сообщает мобильному телефону, какую сеть сотового оператора и номер телефона использовать. Таким образом, если ваш номер телефона связан с SIM-картой мошенника, этот мошенник будет получать звонки и текстовые сообщения, отправленные на ваш номер.
Возможно, самое худшее в этой форме мошенничества то, что вы мало что можете сделать, чтобы предотвратить ее. Вы можете попросить своего оператора мобильной связи создать PIN-код для вашей учетной записи, чтобы никто не мог запросить смену вашей SIM-карты без предварительного предоставления этого PIN-кода. Однако болтливые мошенники иногда могут убедить представителя телефонной компании все равно переключиться.
По этой причине эксперты по безопасности рекомендуют двухэтапную проверку, основанную на приложении-аутентификаторе, а не проверку с помощью текстовых сообщений. Примеры таких приложений включают Microsoft Authenticator и Authy.
Это сложное, но необходимое лекарство.
Точно так же, как мошенник, знающий ваш номер телефона, может выдать себя за вас и убедить оператора сотовой связи внести изменения в ваш счет сотовой связи, мошенник может позвонить поставщику финансовых услуг и выдать себя за вас, пытаясь получить доступ к вашему пенсионному счету.
Если мошенник подменил SIM-карту и, таким образом, кажется, что он звонит с вашего номера телефона, связанного с вашей пенсионной учетной записью, этот мошенник может убедить поставщика финансовых услуг предоставить этому человеку доступ к вашей пенсионной учетной записи.
Один из способов предотвратить этот тип мошенничества с идентификацией — предоставить вашему поставщику финансовых услуг другой номер телефона, который вы держите в секрете, не используя его ни для чего другого. Звучит как перебор? Помните, что на карту может быть поставлена значительная часть ваших сбережений, если кто-то сможет заглянуть в ваш пенсионный счет и очистить его.
Бен Тейлор, консультант инвестиционно-консалтинговой фирмы Callan, рассказал WSJ, что, воспользовавшись возможностью создать онлайн-аккаунт, вы опередите мошенников.
По его словам, «невостребованные онлайн-аккаунты легче взять под контроль мошенникам».
Другими словами, если у вас есть возможность создать учетную запись в Интернете и вы воспользуетесь ею, похититель личных данных не сможет открыть учетную запись на ваше имя, а затем взять ее под свой контроль.
Есть веские причины держать все свои пенсионные фонды у одного поставщика финансовых услуг. Это не только удобнее, но и многие провайдеры уменьшат вам комиссию или предложат другие привилегии, когда вы накопите с ними больше денег.
Но есть и риск:если все ваши деньги находятся у одного провайдера, а мошенник завладеет этим счетом, вы можете быть уничтожены.
Имея часть своих пенсионных накоплений — скажем, ваш индивидуальный пенсионный счет и средства на сберегательном счете здоровья — у отдельного поставщика, вы, по крайней мере, снизите риск того, что можете потерять свои сбережения в одночасье.
Финансовый консультант из Хьюстона Мишель Гесснер рассказала MarketWatch о клиентах, которые ранее становились жертвами кражи личных данных. Супруги однажды заявили Гесснеру, что не хотят объединять свои пенсионные активы с одним поставщиком, даже если это означает отказ от некоторых скромных финансовых пособий.
Боязнь пары стать «сидячими утками» во второй раз «реальна и понятна», — сказал Гесснер MarketWatch. «Это настоящая проблема».