我能想到的有两个办法。第一个是病毒控制了手机，可以后台收发短信，神不知鬼不觉接受验证码。但感觉这个可能性极小。 第二个是普通钓鱼网站，你填啥他拿到啥。第一步进假网站，骗子拿到用户自己提供的用户名，登录密码。用户看到的是页面登录不成功，于是准备第二次登录。同时骗子成功登录账户，迅速尝试更改手机号码，这时需要一次性密码，并被银行发送到受害者手机。受害者以为是登录用的，没想到是更改手机号码用的，于是又填了一次。骗子成功拿到两次手机验证。