physical token在添加新收款账户的时候，需要在token上输入银行根据新添加账户生成的数字，然后token再生成密码，这个双重操作很难误操作。但digital token不一样，骗子可以用钓鱼网站让用户以为第一次登陆没成功，实际上骗子已经成功登陆并试图更改手机号码。此时用户很容易把更改手机号码的otp当成第一次登陆失败而重新登录需要的otp.这只是我能想到的一种情况。骗子还有没有其他方法就不知道了。总之，physical token可以在添加新收款账户的时候把被骗风险降到极低。digital token在掌握了手机的情况下，形同虚设。