我猜测了一下骗子的IT流程用户点击链接； 非法网页要求用户输入用户名密码或者scan singpass； 然后用户手机digital token要求用户approve； 骗子后台现在已经是用户A登录状态； 现在骗子可以随便加任何账户了（如果他们知道银行的后台API甚至可以自动加）； 用户A手机digital token弹出approve要求（这个应该是整个骗子过程中最难骗的一步，如果用户有仔细看，不应该点approve）； 添加成功以后转钱不超过每日限额就随便转了。 当然，看新闻里面一个用户平均被骗2万，也许骗子还会提高转款限额，再次要求用户digital token approve，因为大部分人日转款限额应该是5000？