许多美国人以为,最容易被骗子盯上的,是银行卡、信用卡或投资账户。
然而如今,另一类账户正悄悄成为网络犯罪分子的重点目标,这就是401(k)退休账户。
这些账户往往存放着一个人工作几十年积累下来的退休储蓄,金额动辄数十万甚至上百万美元,而且账户平时很少登录查看。一旦遭到冒名盗取,受害者往往直到钱已经被转走很久之后才发现。
最近曝光的一起案件中,一名退休人士账户内超过75万美元退休金被全部提走,而骗子使用的手法既不复杂,也不高科技,仅仅是一通电话。
根据美国媒体报道,受害者Paula Disberry长期居住在南非。
她在美国工作期间积累的退休金账户由退休福利管理公司Alight Solutions负责管理。
起诉文件显示,骗子并没有破解系统,也没有使用什么先进黑客技术,而是直接拨打了Alight客服热线,冒充账户持有人。
更令人不安的是,对方准确掌握了大量个人资料,包括姓名,出生日期,社会安全号码后四位,原登记住址,这些信息足以通过客服身份验证流程。
在获得客服信任后,骗子首先要求修改账户登记地址和联系方式。
随后,账户密码被重置。
按照正常逻辑,许多人会认为系统应该立即向账户持有人发送电子邮件或手机短信通知。但诉讼文件指出,由于未设置电子信息,系统只能通过邮寄方式寄送新的密码信息。
而此时,骗子已经提前将账户地址改成自己控制的地址。
密码最终顺利落入骗子手中。
更具争议的是,Disberry的退休计划本来设有一项额外安全措施。按照规定,当账户地址发生变更后,必须等待14天,才能申请资金提取或分配。
这一机制的目的,就是防止有人通过更改地址后迅速转移资产。
然而在随后提起的诉讼中,Disberry指控相关管理方并未严格执行这一规定。
在短短数周时间内,骗子成功登录账户,并申请提取全部退休金。
最终,账户内751,430美元被一次性转出。
这笔代表着数十年工作成果的退休储蓄,被开具成支票并邮寄至拉斯维加斯一个地址。当Disberry发现异常时,账户余额已经接近归零。她随后对Alight Solutions、计划管理相关机构以及托管方提起诉讼。
相关诉讼目前仍在审理过程中。
网络安全专家指出,与银行账户相比,许多退休账户系统在安全防护方面长期存在薄弱环节。
银行和信用卡系统通常具备:
实时交易提醒异常登录警报消费欺诈监测快速冻结机制
而不少退休账户管理平台由于用户使用频率较低,安全升级速度相对缓慢。
许多账户持有人甚至几个月甚至几年才查看一次账户。
犯罪分子正是利用这一特点下手。
当账户发生地址变更、密码重置、收款账户修改等关键操作时,如果系统未能第一时间通知用户,就可能给骗子留下可乘之机。
更麻烦的是,退休账户资金一旦完成转移,追回难度往往远高于信用卡欺诈。
不少案件中,即便最终确认属于诈骗,受害人也需要经过漫长诉讼才能争取赔偿。
根据美国联邦调查局(FBI)发布的《互联网犯罪报告》,美国60岁及以上群体在2025年因网络诈骗造成的损失高达77亿美元,较前一年增加59%。其中,仅投资诈骗就造成约35亿美元损失,退休储户正成为犯罪分子重点锁定的目标。
专家指出,许多退休账户盗窃案并不依赖复杂黑客技术,而是从个人信息泄露开始。姓名、出生日期、社安号、地址、旧密码等资料一旦流入黑市,骗子便可能冒充账户持有人通过客服验证,进一步修改账户信息、重置密码,最终控制整个账户。
网络安全专家建议,退休账户不能只依赖密码保护。
首先,应尽快开启双重身份验证(MFA);其次,开启所有短信和电子邮件提醒,包括密码重置、地址变更、银行账户修改及提款申请通知等。一旦账户信息发生变化,能够第一时间发现异常。
此外,应定期查看退休账户记录,并考虑冻结个人信用报告,防止身份信息被用于开设新的金融账户。
同时要牢记,无论对方自称来自FBI、IRS、银行安全部门还是其他政府机构,都不要轻信电话中的转账要求或提供完整账户信息。正规政府机构和金融机构不会要求民众通过电话转移资金,也不会要求将资金转入所谓“安全账户”。
对于许多美国家庭而言,401(k)账户存放的是几十年工作的积蓄和未来养老保障。一旦遭遇盗窃,损失往往远超普通银行卡诈骗。因此,在个人信息频繁泄露的今天,退休账户的安全问题正受到越来越多关注。
