2024年,一通电话让南非的Paula Disberry损失了75万美元。骗子冒充她本人,打给记录保管机构Alight Solutions,仅凭姓名、社保号后四位、生日和存档地址,就通过了身份验证。几个月后,这笔401(k)养老金被一次性汇往拉斯维加斯的一个银行账户。

Disberry起诉了Alight、Colgate-Palmolive福利委员会和托管方BNY Mellon,案件最终以保密条款和解。法院从未裁定Alight是否必须赔偿这笔损失。

打开网易新闻 查看精彩图片

这并非孤例。2009年至2024年间,美国问责局记录了11起依据《雇员退休收入保障法》提起的诉讼。2026年2月,该局要求劳工部就退休计划参与者数据发布新指引。前Abbott Laboratories员工Heide Bartnett同样起诉Alight,指控黑客利用"忘记密码"功能重置凭证,盗走24.5万美元。

401(k)账户被盗与信用卡诈骗有着本质区别。后者受消费者保护法覆盖,损失通常可追回;而退休计划缺乏同等保护机制。Disberry的案例暴露了关键漏洞:Alight在更新联系信息时,未向原邮箱或电话发送警报,反而邮寄临时密码。其计划虽设14天地址变更冷静期,但诉讼称该机构直接跳过。

FBI 2026年4月的网络犯罪报告显示,2025年美国60岁以上人群因网络犯罪损失77亿美元,同比激增59%。其中投资诈骗占35亿美元,退休储蓄者已成为网络犯罪的首要目标。