Der er en voksende trussel mod din pensionsopsparing, og du er sandsynligvis ikke klar over det.
Tyve retter sig i stigende grad mod individuelle 401(k)-konti ved at efterligne kontoejerne, så skurkene kan stjæle tusindvis - eller endda hundredtusindvis - af dollars.
Heide Bartnett fra Darrien, Illinois, mistede $245.000, da en svindler brugte "glemt adgangskode"-muligheden på sin 401(k)-konto til at logge ind på Bartnetts konto. Skurken efterlignede senere med succes Bartnett, da han ringede til 401(k)-planens callcenter, rapporterer The Wall Street Journal.
To år senere har Bartnett kun skaffet $108.000 af hendes stjålne midler.
I et andet tilfælde fik en kvinde fra Massachusetts 200.000 dollars fra sin konto, rapporterer Salem News. Og en anden kvinde fandt ud af, at en tyv havde strøget $99.000 fra hendes 401(k)-konto ifølge Bloomberg Tax.
Du tror måske, at 401(k)-planen selv ville være ansvarlig for at tilbagebetale de midler, den frigav i disse situationer. Men det er ikke nødvendigvis tilfældet.
Som WSJ rapporterer, er føderal lovgivning uklar omkring, hvem der er ansvarlig for tab forbundet med cybertyveri. Og 401(k)-udbydere kan inkludere glat sprog i deres vilkår i et forsøg på at unddrage sig ansvaret for de tabte penge.
Selv et firma så respekteret som Vanguard siger "hvis der er beviser for, at du har forsømt at beskytte din konto med rimelighed, kan det være nødvendigt med yderligere undersøgelser for at afgøre, om vi kan udstede en refusion," ifølge WSJ.
Så hvad kan du gøre for at beskytte dig selv? De følgende trin vil hjælpe dig langt med at holde din pensionsopsparing sikker.
Hvor stærk er stærk - otte tegn? Hvad med 10 tegn?
Prøv mindst 16 til 25. Det er, hvad folk hos LMG Security - som leverer cybersikkerhed og digitale efterforskningstjenester - anbefaler. Andre eksperter er enige.
LMG siger, at deres penetrationstestere kan nedbryde en kodeords-hash på otte tegn - en kodet version af adgangskoden - på alt fra mindre end otte timer til omkring syv dage, afhængigt af hashens art.
Det tager dem lidt længere tid at knække en hash på 16 tegn med adgangskode - 6,5 billioner år til 147 billioner år.
Adgangskodeadministratorer yder en fantastisk service, og de har et solidt ry for at holde dine oplysninger sikre.
Men en detalje i WSJ-historien kan give dig en pause, når du overvejer, om du skal bruge en adgangskodemanager.
Alight Solutions, en 401(k)-planholder, siger, at 401(k)-plandeltagere, der giver adgangskoder til tredjepartstjenester, som samler adgangskoder eller finansielle kontodata muligvis ikke bliver refunderet, hvis "vores undersøgelse fastslår, at en svindelhændelse er sporbar" til en sådan tjeneste, rapporterer WSJ.
(Alight Solutions er 401(k)-planens rekordholder, der angiveligt frigav Bartnetts $240.000 til den bedrager, der angreb hendes konto.)
Det betyder, at du kan være uheldig, hvis et databrud, der førte til tyveri af din identitet, kan spores tilbage til din adgangskodeadministrator. Så i det mindste bør du vælge en adgangskodeadministrator meget omhyggeligt.
Totrinsbekræftelse, også kaldet to-faktor-godkendelse, tilføjer et lag af sikkerhed til dine onlinekonti. I stedet for blot at angive et brugernavn og en adgangskode for at få adgang til din konto, skal du også angive en anden oplysning, du har, såsom en kode sendt til din telefon via sms eller en godkendelsesapp.
Dette ekstra trin gør det sværere for en skurk at få adgang til din pensionskonto eller enhver anden konto, som du har konfigureret totrinsbekræftelse for. Men hvis du har bekræftelseskoder sendt via sms, er det muligt for en svindler at omgå denne sikkerhedsforanstaltning.
I et fupnummer kendt som et "SIM-swap", kan en kriminel kapre dit mobiltelefonnummer. Svindleren, der overtager dit telefonnummer på denne måde, kan skabe utallige kaos, herunder at stjæle penge fra din 401(k)-konto og andre finansielle konti.
Svindleren gør dette ved at ringe til dit mobiltelefonselskab, udgive sig for at være dig og bede udbyderen om at ændre det SIM-kort, der er knyttet til dit telefonnummer, til et SIM-kort i en telefon, som er i svindlerens besiddelse.
Tror du, det ikke kan ske for dig? Det skete for Twitters CEO Jack Dorsey, da en skurk overtog Dorseys Twitter-konto.
"SIM" er en forkortelse for "abonnentidentifikationsmodul", og et SIM-kort fortæller en mobiltelefon, hvilket mobiludbydernetværk og hvilket telefonnummer den skal bruge. Så hvis dit telefonnummer er knyttet til en svindlers SIM-kort, vil denne svindler modtage opkald og tekstbeskeder sendt til dit nummer.
Måske er det værste ved denne form for svindel, at der ikke er meget du kan gøre for at forhindre det. Du kan bede din mobiltelefonudbyder om at oprette en PIN-kode til din konto, så ingen kan anmode om en ændring af dit SIM-kort uden først at angive PIN-koden. Hurtigttalende skurke kan dog nogle gange overbevise telefonselskabets repræsentant om at skifte alligevel.
Af denne grund anbefaler sikkerhedseksperter totrinsbekræftelse, der er afhængig af en godkendelsesapp over bekræftelse via tekstbeskeder. Eksempler på sådanne apps omfatter Microsoft Authenticator og Authy.
Dette er hård - men nødvendig - medicin.
Ligesom en skurk, der kender dit telefonnummer, kan efterligne dig og overbevise din mobiludbyder om at foretage ændringer på din mobilkonto, kan en skurk ringe til en udbyder af finansielle tjenester og efterligne dig i et forsøg på at få adgang til din pensionskonto.
Hvis skurken foretog et SIM-bytte og dermed ser ud til at ringe fra dit telefonnummer, der er knyttet til din pensionskonto, kan skurken muligvis overbevise udbyderen af finansielle tjenesteydelser om at give personen adgang til din pensionskonto.
En måde at forhindre denne type identitetssvindel på er at give din udbyder af finansielle tjenesteydelser et andet telefonnummer, som du holder hemmeligt ved ikke at bruge det til noget andet. Lyder det som overkill? Husk, at en god del af din livsopsparing kan være på spil, hvis nogen er i stand til at dykke ind på din pensionskonto og rense den.
Ben Taylor, en konsulent hos investeringskonsulentfirmaet Callan, fortæller til WSJ, at ved at bruge muligheden for at oprette en online-konto, slår du skurkene til bunds.
Som han udtrykker det, "uhævede onlinekonti er nemmere for efterlignere at tage kontrol over."
Med andre ord, hvis du har mulighed for at oprette en onlinekonto, og du udnytter den, kan en identitetstyv ikke åbne en konto i dit navn og derefter tage kontrol over den.
Der er gode grunde til at beholde alle dine pensionsmidler hos en enkelt udbyder af finansielle tjenesteydelser. Ikke alene er det mere bekvemt, men mange udbydere vil skære dig i en pause på gebyrer eller tilbyde andre frynsegoder, efterhånden som du samler flere penge hos dem.
Men der er også en risiko:Hvis alle dine penge er hos én udbyder, og en svindler får fat i den konto, kan du blive udslettet.
Ved at have nogle af dine pensionspenge - f.eks. dine individuelle pensions- og sundhedsopsparingsmidler - hos en separat udbyder, vil du i det mindste reducere risikoen for, at du kan miste din livsopsparing fra den ene dag til den anden.
Houstons finansielle rådgiver Michelle Gessner fortalte MarketWatch om kunder, der tidligere havde været udsat for identitetstyveri. Parret insisterede engang over for Gessner på, at de ikke ønskede at konsolidere deres pensionsaktiver med en enkelt udbyder, selv om det betød at give afkald på nogle beskedne økonomiske fordele.
Parrets frygt for at blive "sitting ducks" en anden gang "er reel og forståelig," sagde Gessner til MarketWatch. "Dette er en reel bekymring."