Selama dua dekade terakhir, ibu Liz Birenbaum yang berusia 88 tahun, Marge, telah menerima cek Social Security pada hari Rabu kedua setiap bulan. Itu adalah satu-satunya sumber pendapatannya, yang digunakan untuk membayar kamar di pusat perawatan jangka panjang tempat dia tinggal sejak Oktober lalu setelah mengalami stroke. Ketika deposit itu tidak tiba pada bulan Januari, mereka masuk ke akun Social Security milik Marge, di mana mereka menemukan beberapa petunjuk mengejutkan: empat digit terakhir nomor rekening bank yang tidak sesuai dengan miliknya, di sebuah bank yang tidak mereka kenali.
“Seseorang telah masuk,” kata Nyonya Birenbaum, dari Chappaqua, N.Y. “Kemudian saya menekan tombol panik.”
Dengan cepat terungkap bahwa seorang penipu telah mengalihkan manfaat sebesar $2.452 ke rekening Citibank yang tidak dikenal. Marge, yang tinggal di Minnesota, tidak pernah memiliki rekening di sana. Nyonya Birenbaum segera mulai melakukan panggilan untuk memperbaiki situasi. Ketika akhirnya dia terhubung dengan seorang perwakilan Social Security dari kantor lokal di Bloomington, Minn., perwakilan itu dengan santai menyebutkan bahwa hal ini “terjadi sepanjang waktu.”
“Saya terkejut,” kata Nyonya Birenbaum.
Penipuan terkait Social Security, secara keseluruhan, sangat merajalela — para penipu menyamar sebagai karyawan untuk mencoba memperoleh uang dan detail identifikasi berharga dari orang dalam berbagai skema yang terus berkembang. Tetapi penipuan tertentu ini — di mana para penjahat menggunakan informasi pribadi yang dicuri untuk masuk ke akun Social Security secara online atau membuat yang baru, dan mengalihkan manfaat ke tempat lain — telah meresahkan orang selama lebih dari satu dekade.
Setelah para penipu mendapatkan akses ke akun Social Security seseorang secara online, mereka dapat mengubah informasi alamat dan deposit langsung penerima manfaat, atau meminta kartu penggantian.
Hampir semua orang adalah sasaran potensial. Administrasi Social Security mengirim cek kepada lebih dari 70 juta penerima manfaat, termasuk pensiunan dan orang cacat, dengan jumlah total hampir $120 juta setiap bulan. Menurut pejabat anti-penipuan di Administrasi Social Security, sekitar 2.000 penerima manfaat mengalami pengalihan deposit langsung tahun lalu.
Penipuan ini dapat menguntungkan, dan kehilangan manfaatnya sangat merugikan. Diperkirakan sekitar $33,5 juta dalam manfaat — yang seharusnya untuk hampir 21.000 penerima manfaat — dialihkan dalam periode lima tahun hingga Mei 2018, menurut audit terbaru dari Kantor Inspektur Jenderal, sebuah kelompok independen yang bertanggung jawab atas penyelidikan dan audit di agensi tersebut. Sebesar $23,9 juta penyaluran yang fraudulen berhasil dicegah sebelum terjadi dalam periode waktu yang sama.
“Penipu mampu mendapatkan informasi yang cukup tentang penerima manfaat yang sebenarnya untuk meyakinkan Administrasi Social Security bahwa mereka adalah penerima manfaat tersebut,” kata Jeffrey Brown, wakil inspektur jenderal di Kantor Inspektur Jenderal, yang menganalisis masalah ini pada tahun 2019. “Setelah mereka berada di pintu depan, mereka dapat mengubah deposit langsung mereka.”
Penipuan terkait Social Security meningkat selama pandemi, menurut pejabat O.I.G., ketika kantor-kantor Social Security ditutup untuk publik, memaksa orang untuk mengandalkan layanan online agensi tersebut.
Komisi Perdagangan Federal, yang mengumpulkan keluhan yang dilaporkan sendiri dari konsumen, mengatakan lebih dari 7.600 orang melaporkan bahwa manfaat mereka telah dialihkan dari tahun 2019 hingga akhir 2023, dengan peningkatan aktivitas tahun lalu.
“Banyak konsumen memberi tahu kami bahwa mereka menemukan bahwa deposit langsung mereka dialihkan ke rekening lain atau rekening fiktif,” kata Maria Mayo, direktur asosiasi dari divisi respons dan operasi F.T.C. “Banyak kali mereka mengatakan bahwa mereka menerima panggilan dari penipu dan memberikan informasinya, dan mereka percaya bahwa inilah cara informasi tersebut digunakan untuk mengalihkan manfaat.”
Dalam peristiwa lain, sekitar 6.100 klaim ketidakjujuran dilaporkan tahun lalu, atau 0,3 persen dari semua klaim pensiun yang dimulai secara online, yang melibatkan penjahat yang mengajukan manfaat berdasarkan catatan penghasilan dari orang Amerika yang telah mencapai usia pensiun, tetapi belum mengajukan klaim.
Penjahat mengumpulkan informasi identifikasi pribadi yang mereka butuhkan dengan berbagai cara, yang kemudian mereka gunakan untuk masuk ke akun pemerintah atau membuat yang palsu. Anda memerlukan nomor Social Security untuk membuat akun online dengan agensi tersebut, tetapi Anda tidak perlu sembilan digit lengkap untuk membuka akun yang sudah ada.
Amy Nofziger, direktur dukungan korban penipuan di Jaringan Pemantau Penipuan AARP, baru-baru ini memindai basis data kasusnya dan menemukan beberapa korban yang nomor Social Security-nya dicuri oleh pihak ketiga dalam enam bulan terakhir. Seorang korban yang tidak curiga memberikannya kepada penipu yang menjanjikan subsidi asuransi. Penjahat lain menyamar sebagai perwakilan bank korban. Dalam kasus lain, penipu pura-pura menelepon dari biro kredit untuk memverifikasi nomor Social Security korban.
Kadang-kadang pencuri identitas mengklaim bahwa mereka menelepon dari kantor dokter, dan dalam beberapa kasus mereka dapat meretas perangkat seseorang dan mengumpulkan informasi berharga, seperti kata sandi atau detail pribadi lainnya yang disimpan.
Ketika mengumpulkan berbagai potongan identitas seseorang, penipu juga dapat beralih ke pasar gelap di web gelap, di mana banyak informasi identifikasi pribadi — seringkali dicuri melalui pelanggaran keamanan — dijual.
Pam Dixon, direktur eksekutif Forum Privasi Dunia, sebuah kelompok penelitian yang fokus pada tata kelola dan perlindungan data, mengatakan bahwa orang yang tinggal di fasilitas medis atau panti jompo sering rentan terhadap kejahatan ini. “Ini adalah salah satu bentuk pencurian identitas yang paling buruk,” tambahnya.
Hanya beberapa bulan sebelum manfaat Marge dialihkan, O.I.G. menerbitkan laporan yang menyatakan bahwa portal administrasi, yang disebut my Social Security, belum sepenuhnya mematuhi persyaratan federal untuk verifikasi identitas: Laporan tersebut menyatakan bahwa portal itu tidak cukup untuk memverifikasi dan memvalidasi identitas pendaftar baru, dalam semua kasus. Dan setelah akun dibuat melalui salah satu portal verifikasi identitas, yang diperlukan untuk mengakses akun my Social Security, agensi tidak mewajibkan pengguna untuk memverifikasi identitas mereka dengan cukup kuat (seperti menunjukkan SIM dan selfie misalnya).
Ini bukan pertama kalinya para penyelidik independen menemukan kekurangan tersebut, yang bermula sejak diperkenalkannya portal my Social Security pada tahun 2012. Kantor Inspektur Jenderal merekomendasikan peningkatan proses verifikasi identitas digitalnya pada tahun 2016, dan meskipun agensi telah melakukan beberapa perbaikan, pejabat O.I.G. mengatakan bahwa masih belum sepenuhnya sesuai ketika merilis audit terbarunya pada tahun 2023.
Administrasi Social Security mengatakan bahwa telah melaksanakan beberapa rekomendasi kantor tersebut sejak portal diperkenalkan, termasuk penambahan tim analisis penipuan untuk penyelidikan. Agensi juga telah memperbarui proses verifikasi identitasnya untuk merespons ancaman yang muncul, dan berencana untuk melakukan pembaruan lebih lanjut.
“Kantor kami melakukan analisis yang berkelanjutan terhadap transaksi online dan kami mencari perilaku yang tidak biasa, dan jika kami melihat karakteristik baru, kami menandainya dan menerapkan kontrol tambahan untuk menghentikan perilaku apa pun yang berpotensi menipu,” kata Joe Lopez, asisten komisaris deputi untuk analitik, review, dan pengawasan di Social Security.
“Lingkungan selalu berkembang,” tambahnya, “dan kami memodifikasi model-model kami sesuai kebutuhan.”
Administrasi Social Security mengirim pemberitahuan kepada penerima manfaat melalui pos meminta mereka untuk menghubungi agensi jika mereka tidak mengotorisasi perubahan terbaru pada informasi deposit langsung mereka, yang telah berhasil menghalangi jutaan dolar manfaat dari dialihkan dan hilang, kata pejabat O.I.G. Juga memungkinkan untuk memblokir perubahan pada akun.
Masalah ini akan menjadi tidak mungkin untuk diselesaikan oleh seseorang seperti Marge sendiri. Ini cukup menantang bagi Nyonya Birenbaum, seorang konsultan pemasaran, dan saudaranya, yang berbasis di dekat ibu mereka di daerah pinggiran Minneapolis, yang bekerja sama untuk mendapatkan kembali manfaat dan mengamankan akun Marge.
Nyonya Birenbaum — yang melaporkan kejahatan ini ke O.I.G. dan F.B.I. dan memberi tahu perwakilan negara bagian dan federalnya — pernah menghabiskan dua setengah jam menunggu dengan Administrasi Social Security sebelum berhubungan dengan petugas kasus regional. Petugas itu dapat melihat bahwa informasi deposit langsung ibunya telah diubah pada awal Desember, bulan sebelum manfaat itu menghilang.
Saudara Nyonya Birenbaum mengunjungi kantor Social Security setempat ibu mereka dan menjadi “wali berwakil” Marge, yang memungkinkan dia untuk mengurus urusannya (Social Security tidak menerima wali). Mereka harus menemukan cara untuk membuat koreksi tanpa membawa Marge ke kantor, yang menurut Nyonya Birenbaum akan menjadi “tugas herkules.”
Marge menerima uang yang hilang pada tanggal 1 Maret, sekitar satu setengah bulan setelah mereka menemukan masalah tersebut.
“Bagi dia, itu berakhir dengan akhir yang bahagia,” kata Nyonya Birenbaum, “tetapi bagi banyak orang, yang tidak memiliki advokat menolak setiap hari, penjahat cyberlah yang menang.”