Det finns ett växande hot mot ditt pensionssparande, och du är förmodligen inte medveten om det.
Tjuvar riktar sig allt oftare mot individuella 401(k)-konton genom att utge sig för kontoägarna så att skurkarna kan stjäla tusentals – eller till och med hundratusentals – dollar.
Heide Bartnett från Darrien, Illinois, förlorade $245 000 när en bedragare använde alternativet "glömt lösenord" på sitt 401(k)-konto för att logga in på Bartnetts konto. Skurken efterliknade senare framgångsrikt Bartnett när han ringde 401(k)-planens callcenter, rapporterar The Wall Street Journal.
Två år senare har Bartnett fått tillbaka bara 108 000 USD av sina stulna pengar.
I ett annat fall fick en kvinna från Massachusetts 200 000 dollar från sitt konto, rapporterar Salem News. Och en annan kvinna fick veta att en tjuv hade dragit bort 99 000 USD från hennes 401(k)-konto, enligt Bloomberg Tax.
Du kanske tror att 401(k)-planen själv skulle vara ansvarig för att återbetala de medel som den frigjorde i dessa situationer. Men så är det inte nödvändigtvis.
Som WSJ rapporterar är den federala lagstiftningen grumlig om vem som är ansvarig för förluster i samband med cyberstöld. Och 401(k)-leverantörer kan inkludera slarvigt språk i sina villkor i ett försök att undvika ansvaret för de förlorade pengarna.
Till och med ett så respekterat företag som Vanguard säger "om det finns bevis för att du har försummat att på ett rimligt sätt skydda ditt konto, kan ytterligare undersökningar vara nödvändiga för att avgöra om vi kan utfärda en återbetalning", enligt WSJ.
Så vad kan du göra för att skydda dig själv? Följande steg kommer att räcka långt för att hålla ditt pensionssparande säkert.
Hur stark är stark – åtta karaktärer? Vad sägs om 10 tecken?
Prova minst 16 till 25. Det är vad folket på LMG Security – som tillhandahåller cybersäkerhet och digitala kriminaltekniska tjänster – rekommenderar. Andra experter håller med.
LMG säger att deras penetrationstestare kan bryta ner en lösenordshash på åtta tecken – en kodad version av lösenordet – på allt från mindre än åtta timmar till cirka sju dagar, beroende på hashens karaktär.
Det tar dem lite längre tid att knäcka en hash på 16 tecken för lösenord – 6,5 biljoner år till 147 biljoner år.
Lösenordshanterare tillhandahåller en fantastisk tjänst och de har ett gediget rykte för att hålla din information säker.
Men en detalj i WSJ-berättelsen kan ge dig en paus när du överväger om du ska använda en lösenordshanterare.
Alight Solutions, en registerhållare för 401(k)-planen, säger att deltagare i 401(k)-planen som ger lösenord till tredjepartstjänster som samlar ihop lösenord eller finansiella kontodata kanske inte kommer att ersättas om "vår utredning fastställer att en bedrägerihändelse är spårbar” till en sådan tjänst, rapporterar WSJ.
(Alight Solutions är 401(k)-planens registerhållare som påstås ha släppt Bartnetts $240 000 till bedragaren som attackerade hennes konto.)
Det betyder att du kan ha tur om ett dataintrång som ledde till stöld av din identitet kan spåras tillbaka till din lösenordshanterare. Så, åtminstone bör du välja en lösenordshanterare mycket noggrant.
Tvåstegsverifiering, även kallad tvåfaktorsautentisering, lägger till ett lager av säkerhet till dina onlinekonton. Istället för att bara ange ett användarnamn och lösenord för att komma åt ditt konto måste du också tillhandahålla annan information du har, till exempel en kod som skickas till din telefon via textmeddelande eller en autentiseringsapp.
Detta extra steg gör det svårare för en skurk att komma åt ditt pensionskonto, eller något annat konto som du ställer in tvåstegsverifiering för. Men om du har verifieringskoder skickade via sms är det möjligt för en bedragare att kringgå denna säkerhetsåtgärd.
I en bluff som kallas "SIM-byte" kan en brottsling kapa ditt mobilnummer. Bedragaren som tar över ditt telefonnummer på det här sättet kan skapa otaliga kaos, inklusive att stjäla pengar från ditt 401(k)-konto och andra finansiella konton.
Bedragaren gör detta genom att ringa ditt mobiltelefonföretag, låtsas vara du och be leverantören att byta SIM-kort som är kopplat till ditt telefonnummer till ett SIM-kort i en telefon som är i bedragarens ägo.
Tror du att det inte kan hända dig? Det hände Twitters vd Jack Dorsey när en skurk tog över Dorseys Twitterkonto.
"SIM" är en förkortning för "abonnentidentifieringsmodul" och ett SIM-kort talar om för en mobiltelefon vilket mobiloperatörsnätverk och vilket telefonnummer som ska användas. Så om ditt telefonnummer är kopplat till en bedragares SIM-kort kommer den bedragaren att ta emot samtal och textmeddelanden som skickas till ditt nummer.
Det kanske värsta med denna form av bedrägeri är att det finns lite du kan göra för att förhindra det. Du kan be din mobiltelefonleverantör att skapa en PIN-kod för ditt konto så att ingen kan begära ett byte av ditt SIM-kort utan att först ange den PIN-koden. Men snabbtalande skurkar kan ibland övertyga telefonbolagets representant att göra bytet ändå.
Av denna anledning rekommenderar säkerhetsexperter tvåstegsverifiering som förlitar sig på en autentiseringsapp över verifiering via textmeddelanden. Exempel på sådana appar inkluderar Microsoft Authenticator och Authy.
Detta är tuff - men nödvändig - medicin.
Precis som en skurk som känner till ditt telefonnummer kan utge sig för att vara dig och övertyga din mobiloperatör att göra ändringar i ditt mobilkonto, kan en skurk ringa en finansiell tjänsteleverantör och utge sig för att vara dig i ett försök att komma åt ditt pensionskonto.
Om skurken gjorde ett SIM-byte och därmed verkar ringa från ditt telefonnummer som är kopplat till ditt pensionskonto, kan den skurken kanske övertyga leverantören av finansiella tjänster att ge personen tillgång till ditt pensionskonto.
Ett sätt att motverka denna typ av identitetsbedrägeri är att ge din finansiella tjänsteleverantör ett annat telefonnummer som du håller hemligt genom att inte använda det till något annat. Låter det som överdrivet? Kom ihåg att en stor del av ditt livsbesparingar kan stå på spel om någon kan ta sig in på ditt pensionskonto och rensa ut det.
Ben Taylor, en konsult på investeringskonsultföretaget Callan, säger till WSJ att genom att utöva möjligheten att skapa ett onlinekonto, slår du skurkarna.
Som han uttrycker det, "oavhämtade onlinekonton är lättare för imitatorer att ta kontroll över."
Med andra ord, om du har möjlighet att skapa ett onlinekonto och du drar nytta av det, kan en identitetstjuv inte öppna ett konto i ditt namn och sedan ta kontroll över det.
Det finns goda skäl att behålla alla dina pensionsmedel hos en enda finansiell tjänsteleverantör. Det är inte bara bekvämare, utan många leverantörer kommer att minska avgifterna eller erbjuda andra förmåner när du samlar på dig mer pengar med dem.
Men det finns också en risk:om alla dina pengar finns hos en leverantör och en bedragare får tag i det kontot kan du bli utplånad.
Genom att ha en del av dina pensionspengar – t.ex. ditt individuella pensionskonto och ditt hälsosparkonto – hos en separat leverantör, minskar du åtminstone risken att du kan förlora ditt livsbesparingar över en natt.
Houstons finansiella rådgivare Michelle Gessner berättade för MarketWatch om kunder som tidigare varit föremål för identitetsstöld. Paret insisterade en gång för Gessner att de inte ville konsolidera sina pensionstillgångar med en enda leverantör, även om det innebar att de avstod från några blygsamma ekonomiska fördelar.
Parets rädsla för att bli "sitting ducks" en andra gång "är verklig och förståelig", sa Gessner till MarketWatch. "Detta är ett verkligt bekymmer."
Så skyddar du din pension från en nedgång på marknaden
Så skyddar du ditt hem från gärningsstöld
Skydda pensionskonton från fordringsägare
Skydda dina enheter från ryska hackare på bara några minuter
5 sista minuten sätt att skydda ditt hem från orkanen Florence
Hur du skyddar din socialförsäkring från identitetstjuvar
Hur du skyddar dina besparingar från Coronaviruset
7 sätt att skydda din pension från investeringsbedrägerier