401K帳戶75萬「一夜清零」多案發生 持有者毫不知情

民眾熟悉的401(k)退休帳戶，正成為網路犯罪與身分盜竊新目標。冒名者致電帳戶管理公司，假冒身分，要求更改聯絡資訊，最終導致帳戶內高達75萬美元的退休金，被一次性轉移至其他銀行帳戶，而真正的帳戶持有者對此毫不知情。多起退休帳戶遭冒名盜領案例，引發外界對退休金安全的關注。

據Fox News等媒體綜合報導，專家指出，相比銀行與信用卡系統，401(k)帳戶長期缺乏即時警示與消費者保護機制，一旦遭入侵，受害人難以及時發現，一生的退休積蓄恐被提領清空。

案件受害人Paula Disberry長期居住在南非，她在美國的退休金帳戶由Alight Solutions公司管理。據起訴文件，駭客並未通過高科技手段入侵系統，而是使用最傳統、也最容易被忽視的方式，假裝成帳戶持有人致電Alight公司客服。騙子在電話中，準確說出Disberry的姓名、出生日期，社安號後四位、以及存檔的郵寄地址，這些資訊足以通過客服的安全驗證。

隨後，騙子要求客服更新帳戶的聯絡資訊。令人震驚的是，系統在重置密碼時，並沒有向帳戶持有人的電子郵箱或手機發送即時提醒，而是選擇郵寄紙質密碼信件，但騙子早已提前改成新的郵寄地址。最終，駭客憑藉密碼進入受害者退休帳戶。Disberry的計畫規定，地址變更後，需等待14天才能進行資金分配，她在後來的訴訟中指Alight公司跳過這一安全機制。短短幾周內，冒名頂替者登入帳戶並申請全額提款。最終，75萬1430美元的退休金通過支票寄到拉斯維加斯一個地址，當事人Disberry一輩子的積蓄被清零。

非常殘酷的是，很多退休帳戶一旦資金轉出，追回難度遠高普通銀行卡、信用卡詐騙。FBI發布的「互聯網犯罪報告」（Internet Crime Report）指出，僅2025年，美國60歲及以上長者因網絡詐騙損失高達77億美元，比前一年增加59%。其中，投資詐欺造成的損失達35億美元，退休儲戶成為網路犯罪者的主要目標。報導指出，退休帳戶盜用可能始於洩漏的姓名、出生日期、社安號碼、以及過去資料外洩事件中重複使用的密碼。當帳戶持有人在多個帳戶使用重複的密碼時，駭客可以直接利用洩漏的資料，在帳戶管理機構的登入口網站進行驗證。

有些騙子繞過管理公司，直接攻擊帳戶持有人。76歲的退休律師Barry Heitin，曾接到假冒聯邦反詐欺調查員的電話，結果損失74萬美元。來電者說服Heitin，指出他的退休帳戶正遭受攻擊，並指導如何轉移資金，直到錢被騙走，當事人還以為是在協助聯邦調查。

民眾如何防範詐騙，避免巨額損失。專家建議，多重身分驗證、帳戶變更提醒、信用凍結和定期查看帳單等，可以幫助保護401(k) 帳戶。首先，一定要開啟雙重驗證（MFA），不要只依賴密碼登錄；其次，開啟所有短信和郵件提醒，包括密碼重置、地址修改、銀行帳戶變更等通知；同時，定期檢查帳戶，很多詐騙在最初階段就已出現異常跡象；盡快凍結個人信用報告，防止騙子利用身分信息開設新帳戶。最重要的一點，不要輕易相信任何自稱政府機構、銀行安全部門、調查人員的電話，真正官方機構，不會通過電話要求轉帳或提供完整帳戶信息。