Buzz
Erik Isakson / Getty Images
Bảo vệ tài khoản tài chính khỏi các cuộc tấn công mạng ngày càng quan trọng hơn khi các tội phạm Internet tiếp tục gia tăng. Cục điều tra Liên bang (FBI) ước tính tổng thiệt hại do tội phạm mạng là 12,5 tỷ USD vào năm 2023.
Nếu bạn có kế hoạch 401(k) hoặc kế hoạch khác được bảo hiểm theo Đạo luật An ninh thu nhập hưu của Nhân viên (ERISA), bạn có thể đang tự hỏi liệu tài khoản của bạn có an toàn hay không. Bộ Lao động Hoa Kỳ (DOL) đã ban hành hướng dẫn về an ninh mạng nhằm bảo vệ các nhà tài trợ kế hoạch và người tham gia khỏi các cuộc tấn công mạng.
Những điều quan trọng cần nhớ
- Tội phạm Internet đã khiến nạn nhân mất 12,5 tỷ USD vào năm 2023, theo dữ liệu của FBI.
- Mặc dù chúng ít khi là mục tiêu của các cuộc tấn công tội phạm mạng, nhưng các kế hoạch 401(k) và các tài khoản tiết kiệm hưu cũng có thể dễ bị lừa đảo hoặc hack.
- Bộ Lao động Hoa Kỳ đã ban hành hướng dẫn về tội phạm mạng cho các nhà tài trợ kế hoạch, người đại diện, người ghi nhận và người tham gia kế hoạch.
- Nếu bạn có kế hoạch 401(k) tại nơi làm việc, có một số điều bạn có thể làm để bảo vệ bản thân khỏi các tội phạm mạng.
Hiểu về Lừa đảo và Tội phạm mạng trong 401(k)
Tội phạm mạng là điều mà nhiều người có thể nghĩ đến là liên quan đến các tài khoản ngân hàng hoặc thẻ tín dụng. Ví dụ, nhiều báo cáo hack nổi tiếng đã liên quan đến việc đánh cắp thông tin thẻ tín dụng và thẻ ghi nợ từ các hệ thống điểm bán lẻ của các nhà bán lẻ. Các loại tội phạm mạng phổ biến khác bao gồm các chiêu lừa đảo qua email hoặc tin nhắn vishing và các cuộc tấn công malware nhằm vào thông tin đăng nhập ngân hàng trực tuyến hoặc di động.
Các tài khoản tiết kiệm hưu cũng như các kế hoạch 401(k) không miễn phí khỏi việc bị nhắm mục tiêu. Kẻ lừa đảo có thể sử dụng nhiều chiến thuật để nhắm vào các kế hoạch nơi làm việc và làm trống tiền tiết kiệm hưu của nhân viên. Một trong những loại lừa đảo phổ biến nhất liên quan đến chiếm đoạt tài khoản. Đây là cách hoạt động của nó:
- Một tội phạm mạng có được thông tin đăng nhập vào kế hoạch 401(k) của một cá nhân, qua các chiêu lừa đảo phishing, cuộc tấn công malware, hoặc sự kết hợp của cả hai.
- Họ sử dụng thông tin đó để đăng nhập vào kế hoạch 401(k) của nhân viên và thay đổi một số chi tiết của tài khoản, như số điện thoại liên lạc và địa chỉ hoặc mật khẩu đăng nhập.
- Giả sử những thay đổi đó không được chú ý, kẻ lừa đảo có thể tiến hành chuyển khoản từ 401(k) sang tài khoản liên kết bên ngoài hoặc yêu cầu gửi những chi phiếu bản giấy tới địa chỉ đã được cập nhật.
Chiếm đoạt tài khoản cũng có thể xảy ra với các loại tài khoản khác, bao gồm tài khoản hưu trí cá nhân (IRAs), các tài khoản môi giới có thuế và tài khoản ngân hàng.
Quan trọng
Mặc dù các tài khoản ngân hàng và thẻ tín dụng được bảo vệ chống lừa đảo liên bang, những bảo vệ này không áp dụng rộng rãi cho các kế hoạch 401(k) và các tài khoản tiết kiệm hưu khác.
Hướng dẫn An ninh mạng 401(k) của DOL
Năm 2021, Bộ Lao động Mỹ đã giới thiệu hướng dẫn mới nhằm bảo vệ các kế hoạch 401(k) và các kế hoạch tiền hưu khác do ERISA quản lý khỏi lừa đảo mạng. Hướng dẫn này nhằm hỗ trợ các nhà tài trợ kế hoạch, người quản lý tài sản, người giữ hồ sơ và các người tham gia kế hoạch trong việc bảo vệ các kế hoạch 401(k) khỏi trộm danh tính và các loại tội phạm mạng khác. Hướng dẫn tập trung vào ba lĩnh vực cụ thể: mẹo cho việc thuê nhà cung cấp dịch vụ, các quy tắc tốt nhất về chương trình bảo mật mạng và an ninh trực tuyến.
Hướng dẫn cho Nhà tài trợ Kế hoạch
Các quy tắc của DOL khuyến khích các nhà tài trợ kế hoạch hợp tác với các nhà cung cấp dịch vụ tuân thủ các thực hành bảo mật mạnh mẽ. Cụ thể, DOL đề xuất các nhà tài trợ kế hoạch thực hiện các hành động sau khi xem xét các nhà cung cấp:
- Hỏi về tiêu chuẩn, thực tiễn và chính sách bảo mật thông tin của nhà cung cấp và so sánh chúng với các tiêu chuẩn ngành mà các tổ chức tài chính khác sử dụng.
- Tìm nhà cung cấp tuân thủ các tiêu chuẩn nổi tiếng về bảo mật thông tin.
- Hỏi nhà cung cấp cách họ xác thực các thực tiễn của mình và các tiêu chuẩn bảo mật đã triển khai.
- Đánh giá lịch sử hoạt động của nhà cung cấp trong ngành và hỏi về bất kỳ vụ vi phạm bảo mật nào trong quá khứ của nhà cung cấp.
- Nghiên cứu xem nhà cung cấp có các chính sách bảo hiểm để bảo vệ mất mát do tội phạm mạng, bao gồm các trường hợp tài khoản người tham gia kế hoạch bị hack.
- Đảm bảo rằng bất kỳ hợp đồng nào với nhà cung cấp dịch vụ đều yêu cầu tuân thủ liên tục các tiêu chuẩn bảo mật thông tin và an ninh mạng.
Nhà tài trợ kế hoạch của bạn có thể cung cấp thông tin về các biện pháp bảo mật mà họ thực hiện khi được yêu cầu.
Hướng dẫn cho Người quản lý tài sản và Người giữ hồ sơ
Theo các quy tắc của DOL, người quản lý tài sản và người giữ hồ sơ của kế hoạch 401(k) cũng chịu trách nhiệm đảm bảo họ thực hiện phần của họ để giảm thiểu các rủi ro an ninh mạng. Danh sách các thực hành tốt nhất được khuyến khích bao gồm các điều sau:
- Có chương trình bảo mật mạnh mẽ, được tài liệu hóa và chính thức.
- Thực hiện đánh giá rủi ro hàng năm một cách cẩn trọng.
- Đặt lịch kiểm toán bảo mật hàng năm bởi bên thứ ba về kiểm soát bảo mật.
- Xác định rõ vai trò và trách nhiệm về bảo mật thông tin và giao cho từng cá nhân.
- Thiết lập các thủ tục kiểm soát truy cập mạnh mẽ.
- Đảm bảo tài sản hoặc dữ liệu được lưu trữ trên đám mây hoặc được quản lý bởi các nhà cung cấp bên thứ ba phải được xem xét và đánh giá bảo mật phù hợp.
- Tổ chức đào tạo nhận thức về an ninh mạng định kỳ.
- Triển khai và quản lý chương trình vòng đời phát triển hệ thống an toàn (SDLC) hiệu quả.
- Tạo ra chương trình khả năng phục hồi kinh doanh hiệu quả để đảm bảo liên tục hoạt động kinh doanh, phục hồi sau thảm họa và phản ứng với sự cố.
- Mã hóa dữ liệu nhạy cảm mọi lúc.
- Triển khai các điều khiển kỹ thuật mạnh mẽ phù hợp với các thực hành bảo mật tốt nhất.
- Phản ứng một cách thích hợp đối với các sự cố an ninh mạng.
Hướng dẫn cho Người tham gia kế hoạch
DOL cũng cung cấp mẹo cho người tham gia kế hoạch 401(k) để giúp họ thực hiện phần của mình trong việc bảo vệ tài khoản của họ. Nhiều trong số những mẹo này là những chiến lược giống như những gì được khuyến khích để bảo vệ thông tin ngân hàng trực tuyến. Đây là những gì DOL đề xuất:
- Theo dõi thường xuyên tài khoản của bạn, tìm kiếm bất kỳ hoạt động hoặc giao dịch bất thường nào mà bạn không nhận ra.
- Sử dụng mật khẩu mạnh và duy nhất để đăng nhập vào tài khoản tiền hưu và thường xuyên cập nhật chúng.
- Cài đặt xác thực đa yếu tố nếu nhà tài trợ hoặc người cung cấp dịch vụ kế hoạch của bạn cung cấp tính năng này.
- Đảm bảo thông tin liên lạc cá nhân được liệt kê trên tài khoản của bạn luôn cập nhật.
- Đóng hoặc xóa các tài khoản tài chính không sử dụng.
- Tránh sử dụng Wi-Fi công cộng để truy cập vào tài khoản tài chính.
- Cẩn thận với các đợt lừa đảo qua email (phishing scams).
- Sử dụng phần mềm diệt virus để bảo vệ thiết bị và thường xuyên cập nhật nó.
Mẹo
Nếu bạn nghĩ rằng tài khoản 401(k) của bạn đã bị xâm nhập, hãy liên hệ với nhà tài trợ kế hoạch của bạn ngay lập tức để báo cáo. Bạn cũng có thể báo cáo tội phạm mạng cho FBI và Cơ quan An ninh Mạng & Cơ sở Hạ tầng (CISA).
Liệu một 401(k) có thể bị hack?
Một 401(k) có thể bị hack nếu ai đó có thể truy cập thông tin đăng nhập của bạn, bao gồm ID người dùng và mật khẩu của bạn. Hacker có thể sử dụng phương pháp được gọi là chiếm đoạt tài khoản để rút tiền từ kế hoạch 401(k) của ai đó giống như họ có thể làm với tài khoản ngân hàng.
Nếu 401(k) của bạn bị đánh cắp, điều gì sẽ xảy ra?
Làm thế nào để bảo vệ 401(k) của tôi?
Điểm quan trọng nhất
Bạn làm việc chăm chỉ để đóng góp tiền vào kế hoạch 401(k) để dành cho hưu trí, và điều cuối cùng bạn muốn là để tội phạm mạng đánh cắp nó. Thực tế đáng tiếc là các kế hoạch 401(k) và các kế hoạch tiết kiệm hưu trí nơi làm việc khác có thể bị tấn công mạng như các loại tài khoản tài chính khác. Hướng dẫn về an ninh mạng 401(k) của DOL là một bước tiến trong việc bảo vệ các tài khoản này. Giữ cảnh giác và theo dõi đều đặn tài khoản của bạn có thể giúp bảo vệ tiết kiệm hưu trí của bạn.
