银行确实也有需要改进的地方1. 发给客户的短信里面不能有链接。 2. digit token显示的内容要更加详尽，字体要更大一些，清楚的让客户知道这次到底要批准什么样的操作。时间的间隔要更短，ocbc现在给大概3分钟，太长了，应该缩短到15－30秒内。 3. 在另外一个设备上激活digit token，应该有多种验证方式，随机搭配使用，这样让骗子无法去模拟。 4. 引入AI技术判断可疑交易。刚在另外一个设备上激活，马上就添加payee，大额转账，这几乎就等同于诈骗。银行需要判断这种可疑交易。其实这并不是什么新技术，十年前我去老丈人家那边刷卡买一个冰箱，招行的电话马上就来了，问是不是我本人在交易。持卡人从来没有在这个地方交易过，突然就刷几千块，银行那边就判断为可疑交易。

I’m a S'porean man, 43. I lost S$500,000 of my life savings over 2 hours in thehttps://mothership.sg/2022/01/singaporean-man-lose-ocbc-savings/ 又一苦主分享

这个就更加严重了这个人还持有physical token，如果只需要最开始的用户名密码和一次的otp就可以在另外的设备上激活digital token，那银行的系统就真的有问题了。因为最开始的那个otp只是给用户登陆进系统用的。要激活digital token这么重要的操作，不应该什么都不需要。 搬个凳子继续等着看看后续。

我记得dbs的digital token激活时好像也就是验证了otp个人认为在digital token和hardware token二选一的情况下 尽量及早使用digital token 因为骗子可能就是利用激活digital token来取代苦主的hardware token 而苦主可能都不知道token被换了

肯定是两次otp给了骗子啊骗子精心设计的骗局，肯定先用第一个骗来的otp来申请激活digital token，然后会再编造一个理由再要一个otp来完成激活digital token， 但是问题出在这里的细节。 这个完成激活digital token的otp是怎么发送的，ocbc有没有在sms里面写清楚这条otp是干嘛的，如果写清楚了会激活digital token，而客户没有看直接填，那么ocbc责任较小，如果是直接发了个数字youe top is 123456,那就是一个巨大的漏洞。 如果是做到了dbs那样的双重认证，先一个otp说这条otp拿来激活digital token，你同意的话把它输入你的token，再长按白键，生成一个新otp，才能激活，那很大程度上用户不会这么傻了