是在打自己脸吗？“ 密码器是从别处被激活，而不是在她的家” 这个明显是指实体 token.

是有人冒充她申请了实体 token，寄到其它地址啊。

总结一下骗子冒充银行发短信，这个短信和真正ocbc发的在同一个thread里面，所以用户以为是ocbc发的，进而点击了短信中的link，进了骗子的网站，导致自己的登录信息otp等等发给了骗子，然后骗子登录真的ocbc输入用户的信息，进而转走了用户的钱。 整个过程中，银行的漏洞在哪里？这种操作就等同于用户自己在操作呀。

不知道ocbc改手机号的程序如果更改手机号无需再次验证，那程序需要改进。但是不能说是漏洞，毕竟最开始的登录验证信息是用户给出去的。

这个逻辑思维很有问题，容易被骗的就是你这种人我一直用同样的手机号好多年了，网银登记的手机号自然也是这个，没有改号的需求，不懂ocbc改号的程序很奇怪吗？怎么就知道我不是ocbc的客户呢？